Палітыка апрацоўкі персанальных дадзеных

ПАЛIТЫКА УАЗ МГ МРЭК (аператара) у дачыненні да апрацоўкі персанальных дадзеных

ГЛАВА 1. АГУЛЬНЫЯ ПАЛАЖЭННІ

1. Палітыка апрацоўкі персанальных дадзеных ва ўстанове аховы здароўя "Мінская гарадская медыка-рэабілітацыйная экспертная камісія" (далей - Палітыка) вызначае асноўныя прынцыпы, мэты, умовы і спосабы апрацоўкі персанальных дадзеных, пералікі суб'ектаў апрацоўваных ва ўстанове аховы здароўя "Мінская гарадская медыка-рэабілітацыйная экспертная камісія" далей - УАЗ МГ МРЭК) персанальных дадзеных, функцыі УАЗ МГ МРЭК пры апрацоўцы персанальных дадзеных, правы суб'ектаў персанальных дадзеных, а таксама патрабаванні да абароны персанальных дадзеных.

2. Палітыка распрацавана з улікам патрабаванняў Канстытуцыі Рэспублікі Беларусь, заканадаўчых і іншых нарматыўных прававых актаў Рэспублікі Беларусь у галіне персанальных даных.

3. Палажэнні Палітыкі служаць асновай для распрацоўкі лакальных прававых актаў, якія рэгламентуюць ва УАЗ МГ МРЭК пытанні апрацоўкі персанальных дадзеных работнікаў і іншых суб'ектаў персанальных дадзеных.

РАЗДЗЕЛ 2. ЗАКАНАДАЎНЫЯ І ІНШЫЯ НАРМАТЫЎНЫЯ ПРАВАВЫЯ АКТЫ РЭСПУБЛІКІ БЕЛАРУСЬ, У АДПАВЕДНАСЦІ З ЯКІМІ ВЫЗНАЧАЕЦЦА ПАЛIТЫКА АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

4. Палітыка апрацоўкі персанальных дадзеных ва УАЗ МД МРЭК вызначаецца ў адпаведнасці з наступнымі нарматыўнымі прававымі актамі:

  • Канстытуцыя Рэспублікі Беларусь;
  • Працоўны кодэкс Рэспублікі Беларусь;
  • Закон Рэспублікі Беларусь ад 07.05.2021 № 99-З "Аб абароне персанальных даных";
  • Закон Рэспублікі Беларусь ад 10.11.2008 № 455-З "Аб інфармацыі, інфарматызацыі і абароне інфармацыі";
  • Закон Рэспублікі Беларусь ад 18.06.1993 № 2435-XII "Аб ахове здароўя";
  • Закон Рэспублікі Беларусь ад 18.07.2011 № 300-З "Аб зваротах грамадзян і юрыдычных асоб";
  • іншыя нарматыўныя прававыя акты Рэспублікі Беларусь і нарматыўныя дакументы ўпаўнаважаных дзяржаўных органаў.

5. У мэтах рэалізацыі палажэнняў Палітыкі ва УАЗ МГ МРЭК распрацоўваюцца адпаведныя лакальныя прававыя акты і іншыя дакументы, у тым ліку:

  • палажэнне аб апрацоўцы і абароне персанальных даных (прыкладаецца);
  • палажэнне аб парадку забеспячэння канфiдэнцыяльнасцi пры апрацоўцы iнфармацыi, якая змяшчае персанальныя даныя (прыкладаецца);
  • іншыя лакальныя прававыя акты і дакументы, якія рэгламентуюць ва УАЗ МГ МРЭК пытанні апрацоўкі персанальных дадзеных.

ГЛАВА 3. АСНОЎНЫЯ ТЭРМІНЫ І ВЫЗНАЧЭННІ, ВЫКАРЫСТАНЫЯ Ў ДАКАЛЬНЫХ ПРАВАВЫХ АКТАХ, РАГЛАМЕНТУЮЧЫХ ПЫТАННІ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАНЫХ

6. У гэтым Палажэнні прымяняюцца тэрміны ў значэннях, вызначаных у Законе Рэспублікі Беларусь ад 07.05.2021 № 99-З "Аб абароне персанальных даных".

ГЛАВА 4. ПРЫНЦЫПЫ І МЭТЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

7. УАЗ МГ МРЭК, з'яўляючыся аператарам персанальных дадзеных (далей - Аператар), ажыццяўляе апрацоўку персанальных дадзеных работнікаў Аператара і іншых суб'ектаў персанальных дадзеных, якія не складаюцца з Аператарам у працоўных адносінах.

8. Апрацоўка персанальных даных ажыццяўляецца з улікам неабходнасці забеспячэння абароны правоў і свабод работнікаў Аператара і іншых суб'ектаў персанальных даных, у тым ліку абароны права на недатыкальнасць прыватнага жыцця, асабістую і сямейную таямніцу, на аснове наступных прынцыпаў:

  • апрацоўка персанальных даных ажыццяўляецца на законнай і справядлівай аснове;
  • апрацоўка персанальных даных ажыццяўляецца суразмерна заяўленым мэтам іх апрацоўкі і забяспечвае на ўсіх этапах такой апрацоўкі справядлівыя суадносіны інтарэсаў усіх зацікаўленых асоб;
  • апрацоўка персанальных даных ажыццяўляецца са згоды суб'екта персанальных даных, за выключэннем выпадкаў, прадугледжаных заканадаўчымі актамі;
  • апрацоўка персанальных дадзеных абмяжоўваецца дасягненнем канкрэтных, загадзя заяўленых законных мэт. Не дапускаецца апрацоўка персанальных даных, не сумяшчальная з першапачаткова заяўленымі мэтамі іх апрацоўкі;
  • змест і аб'ём апрацоўваных персанальных дадзеных адпавядаюць заяўленым мэтам іх апрацоўкі. Апрацоўваныя персанальныя дадзеныя не з'яўляюцца залішнімі ў адносінах да заяўленых мэт апрацоўкі;
  • апрацоўка персанальных дадзеных мае празрысты характар. Суб'екту персанальных даных можа прадастаўляцца адпаведная інфармацыя, якая датычыцца апрацоўкі яго персанальных даных;
  • аператар прымае меры па забеспячэнні дакладнасці апрацоўваных ім персанальных дадзеных, пры неабходнасці абнаўляе іх;
  • захоўванне персанальных даных ажыццяўляецца ў форме, якая дае магчымасць ідэнтыфікаваць суб'екта персанальных даных, не даўжэй, чым гэтага патрабуюць заяўленыя мэты апрацоўкі персанальных даных.

9. Персанальныя дадзеныя апрацоўваюцца ў мэтах:

  • забеспячэння захавання Канстытуцыі Рэспублікі Беларусь, заканадаўчых і іншых нарматыўных прававых актаў Рэспублікі Беларусь, лакальных прававых актаў Аператара;
  • ажыццяўлення функцый, паўнамоцтваў і абавязкаў, ускладзеных заканадаўствам Рэспублікі Беларусь, на Аператара, у тым ліку па прадастаўленні персанальных даных у дзяржаўныя органы, у Фонд сацыяльнай абароны насельніцтва Міністэрства працы і сацыяльнай абароны Рэспублікі Беларусь, а таксама ў іншыя дзяржаўныя арганізацыі;
  • рэгулявання працоўных адносін з работнікамі Аператара (садзейнічанне ў працаўладкаванні, навучанне і прасоўванне па службе, забеспячэнне асабістай бяспекі, кантроль колькасці і якасці выкананай работы, забеспячэнне захаванасці маёмасці);
    абароны жыцця, здароўя або іншых жыццёва важных інтарэсаў суб'ектаў персанальных даных;
  • падрыхтоўкі, заключэння, выканання і спынення дагавораў з контрагентамі;
  • забеспячэння прапускнога і ўнутрыаб'ектавага рэжымаў на аб'ектах Аператара;
  • фарміравання даведачных матэрыялаў для ўнутранага інфармацыйнага забеспячэння дзейнасці Аператара;
  • выканання судовых актаў, актаў іншых органаў або службовых асоб, якія падлягаюць выкананню ў адпаведнасці з заканадаўствам Рэспублікі Беларусь аб выканаўчым вядзенні;
  • ажыццяўлення правоў і законных інтарэсаў у рамках ажыццяўлення відаў дзейнасці, прадугледжаных Статутам і іншымі лакальнымі прававымі актамі, або дасягненні грамадска значных мэт;
  • у іншых законных мэтах.

ГЛАВА 5. ПЕРАЛІК СУБ'ЕКТАЎ, ПЕРСАНАЛЬНЫЯ ДАДЗЕНЫЯ ЯКІХ АБРАЦЦАЮЦЦА

10. Аператарам апрацоўваюцца персанальныя дадзеныя наступных катэгорый суб'ектаў:

  • работнікі Аператара;
  • іншыя суб'екты персанальных даных (для забеспячэння рэалізацыі мэт апрацоўкі, указаных у главе 4 Палітыкі).

ГЛАВА 6. ПЕРАЛІК АПРАЦАВАНЫХ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

11. Пералік персанальных даных вызначаецца ў адпаведнасці з заканадаўствам і лакальнымі прававымі актамі Аператара з улікам мэт апрацоўкі персанальных даных, указаных у главе 4 Палітыкі.

12. Апрацоўка спецыяльных персанальных даных, якія датычацца расавай або нацыянальнай прыналежнасці, палітычных поглядаў, членства ў прафесійных саюзах, рэлігійных або іншых перакананняў, здароўя або інтымнага жыцця, прыцягнення да адміністрацыйнай або крымінальнай адказнасці, а таксама біяметрычных і генетычных персанальных даных не ажыццяўляецца.

ГЛАВА 7. АЖЫЦЦЯЎЛЕННЕ ФУНКЦЫЙ ПРЫ АПРАЦОЎЦЫ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

13. Аператар пры ажыццяўленні апрацоўкі персанальных дадзеных:

  • прымае меры, неабходныя і дастатковыя для забеспячэння выканання патрабаванняў заканадаўства і лакальных прававых актаў Аператара ў галіне персанальных даных;
  • прымае прававыя, арганізацыйныя і тэхнічныя меры для абароны персанальных даных ад неправамернага або выпадковага доступу да іх, знішчэння, змянення, блакіравання, капіравання, прадастаўлення, распаўсюджвання персанальных даных, а таксама ад іншых неправамерных дзеянняў у адносінах да персанальных даных;
  • назначае структурнае падраздзяленне або асобу, адказную за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных даных;
  • выдае лакальныя прававыя акты, якія вызначаюць палітыку і пытанні апрацоўкі і абароны персанальных даных;
  • ажыццяўляе азнаямленне работнікаў, якія непасрэдна ажыццяўляюць апрацоўку персанальных даных, з палажэннямі заканадаўства і лакальных прававых актаў Аператара ў галіне персанальных даных, у тым ліку патрабаваннямі да абароны персанальных даных, і навучанне ўказаных работнікаў;
  • публікуе ці іншым чынам забяспечвае неабмежаваны доступ да гэтай Палітыкі;
  • паведамляе ва ўстаноўленым парадку суб'ектам персанальных даных або іх прадстаўнікам інфармацыю аб наяўнасці персанальных даных, якія адносяцца да адпаведных суб'ектаў, дае магчымасць азнаямлення з гэтымі персанальнымі данымі пры звароце і (або) паступленні запытаў названых суб'ектаў персанальных даных або іх прадстаўнікоў, калі іншае не ўстаноўлена заканадаўствам;
  • спыняе апрацоўку і знішчае персанальныя даныя ў выпадках, прадугледжаных заканадаўствам у галіне персанальных даных;
    здзяйсняе іншыя дзеянні, прадугледжаныя заканадаўствам у галіне персанальных дадзеных.

ГЛАВА 8. УМОВЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

14. Апрацоўка персанальных даных ажыццяўляецца са згоды суб'екта персанальных даных на апрацоўку яго персанальных даных, калі іншае не прадугледжана заканадаўствам у галіне персанальных даных.

15. Аператар без згоды суб'екта персанальных даных не раскрывае трэцім асобам і не распаўсюджвае персанальныя даныя, калі іншае не прадугледжана заканадаўствам.

16. Аператар мае права даручыць апрацоўку персанальных даных ад імя Аператара або ў яго інтарэсах упаўнаважанай асобе на падставе заключанага з гэтай асобай дагавора. Дагавор павінен змяшчаць:

  • мэты апрацоўкі персанальных даных;
  • пералік дзеянняў, якія будуць здзяйсняцца з персанальнымі дадзенымі ўпаўнаважанай асобай;
  • абавязкі па выкананні канфідэнцыйнасці персанальных даных;
  • меры па забеспячэнні абароны персанальных даных у адпаведнасці з артыкулам 17 Закона Рэспублікі Беларусь ад 07.05.2021 № 99-З "Аб абароне персанальных даных".

17. У мэтах унутранага інфармацыйнага забеспячэння можа ствараць унутраныя даведачныя матэрыялы, у якія з пісьмовай згоды суб'екта персанальных даных, калі іншае не прадугледжана заканадаўствам, могуць уключацца яго прозвішча, імя, імя па бацьку, месца працы, пасада, год і месца нараджэння, адрас, абаненцкі нумар, адрас электроннай пошты, іншыя персанальныя дадзеныя, якія паведамляюцца суб'ектам персанальных дадзеных.

18. Доступ да апрацоўваных персанальных дадзеных дазваляецца толькі работнікам, прызначаным загадам галоўнага лекара УАЗ "МГ МРЭК".

ГЛАВА 9. ПЕРАЛІК ДЗЕЯННЯЎ З ПЕРСАНАЛЬНЫМІ ДАНЫМІ І СПОСАБЫ ІХ АПРАЦОЎКІ

19. Аператар ажыццяўляе апрацоўку персанальных дадзеных (любое дзеянне або сукупнасць дзеянняў, якія здзяйсняюцца з персанальнымі дадзенымі, уключаючы збор, сістэматызацыю, захоўванне, змяненне, выкарыстанне, абязлічванне, блакіраванне, распаўсюджванне, прадастаўленне, выдаленне персанальных даных);

20. Апрацоўка персанальных даных ажыццяўляецца наступнымі спосабамі:

  • з выкарыстаннем сродкаў аўтаматызацыі;
  • без выкарыстання сродкаў аўтаматызацыі, калі пры гэтым забяспечваюцца пошук персанальных даных і (або) доступ да іх па пэўных крытэрыях (картатэкі, спісы, базы даных, часопісы і іншае).

ГЛАВА 10. ПРАВА СУБ'ЕКТАЎ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

21. Суб'екты персанальных дадзеных маюць права на:

  • водгук згоды суб'екта персанальных даных;
  • атрыманне інфармацыі, якая датычыцца апрацоўкі персанальных даных, і змяненне персанальных даных;
  • патрабаванне спынення апрацоўкі персанальных дадзеных і (або) іх выдалення;
  • абскарджанне дзеянняў (бяздзеяння) і рашэнняў аператара, звязаных з апрацоўкай персанальных дадзеных.

ГЛАВА 11. МЕРЫ, ПРЫМАНЫЯ ДЛЯ ЗАБЕСПЯЧЭННЯ ВЫКАНАННЯ АБАВЯЗКАЎ АПЕРАТАРА ПРЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАНЫХ

22. Меры, неабходныя і дастатковыя для забеспячэння выканання абавязкаў Аператара, прадугледжаных заканадаўствам у галіне персанальных даных, уключаюць:

  • прадастаўленне суб'ектам персанальных даных неабходнай інфармацыі да атрымання іх згод на апрацоўку персанальных даных;
  • растлумачэнне суб'ектам персанальных даных іх правоў, звязаных з апрацоўкай персанальных даных;
    атрыманне пісьмовых згод суб'ектаў персанальных даных на апрацоўку іх персанальных даных, за выключэннем выпадкаў, прадугледжаных заканадаўствам;
  • прызначэнне структурнага падраздзялення або асобы, адказнай за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных даных;
  • выданне дакументаў, якія вызначаюць палітыку ў адносінах да апрацоўкі персанальных даных;
    азнаямленне работнікаў, якія непасрэдна ажыццяўляюць апрацоўку персанальных даных, з палажэннямі заканадаўства аб персанальных даных;
  • устанаўленне парадку доступу да персанальных даных, у тым ліку апрацоўваных у інфармацыйным рэсурсе (сістэме);
  • ажыццяўленне тэхнічнай і крыптаграфічнай абароны персанальных даных у парадку, устаноўленым Аператыўна-аналітычным цэнтрам пры Прэзідэнце Рэспублікі Беларусь, у адпаведнасці з класіфікацыяй інфармацыйных рэсурсаў (сістэм), якія змяшчаюць персанальныя даныя;
  • забеспячэнне неабмежаванага доступу, у тым ліку з выкарыстаннем глабальнай камп'ютарнай сеткі Інтэрнэт, да дакументаў, якія вызначаюць палітыку ў адносінах да апрацоўкі персанальных даных, да пачатку такой апрацоўкі;
  • спыненне апрацоўкі персанальных даных пры адсутнасці падстаў для іх апрацоўкі;
  • неадкладнае апавяшчэнне ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных дадзеных аб парушэннях сістэм абароны персанальных дадзеных;
  • ажыццяўленне змянення, блакіравання, выдалення недакладных або атрыманых незаконным шляхам персанальных даных;
    абмежаванне апрацоўкі персанальных даных дасягненнем канкрэтных, загадзя заяўленых законных мэт;
  • ажыццяўленне захоўвання персанальных даных у форме, якая дае магчымасць ідэнтыфікаваць суб'ектаў персанальных даных, не даўжэй, чым гэтага патрабуюць заяўленыя мэты апрацоўкі персанальных даных.

23. Меры па забеспячэнні бяспекі персанальных даных пры іх апрацоўцы ў інфармацыйных сістэмах персанальных даных устанаўліваюцца ў адпаведнасці з лакальнымі прававымі актамі Аператара, якія рэгламентуюць пытанні забеспячэння бяспекі персанальных даных пры іх апрацоўцы ў інфармацыйных сістэмах персанальных даных.

ГЛАВА 12. КАНТРОЛЬ ЗА ЗАХОДЛЕННЕМ ЗАКАНАДАЎСТВА І ЛАКАЛЬНЫХ ПРАВАВЫХ АКТАЎ АПЕРАТАРА Ў ВОБЛАСЦІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ, У ТЫМ ЛІКУ ПАТРАБАВАННЯЎ ДА АБАРОНЫ ПЕРСОНАЛЬ

24. Кантроль за выкананнем структурнымі падраздзяленнямі Аператара заканадаўства Рэспублікі Беларусь і лакальных прававых актаў Аператара ў галіне персанальных даных, у тым ліку патрабаванням да абароны персанальных даных, ажыццяўляецца з мэтай праверкі адпаведнасці апрацоўкі персанальных даных у структурных падраздзяленнях заканадаўству і лакальным прававым актам Аператара ў галіне персанальных даных, у тым ліку патрабаванням да абароны персанальных даных, а таксама прынятых мер, накіраваных на прадухіленне і выяўленне парушэнняў заканадаўства ў галіне персанальных даных, выяўлення магчымых каналаў уцечкі і несанкцыянаванага доступу да персанальных даных, устаранення наступстваў такіх парушэнняў.

25. Унутраны кантроль за выкананнем структурнымі падраздзяленнямі Аператара заканадаўства Рэспублікі Беларусь і лакальных прававых актаў Аператара ў галіне персанальных даных, у тым ліку патрабаванням да абароны персанальных даных, ажыццяўляецца асобай, адказнай за арганізацыю апрацоўкі персанальных даных.

Арганізацыя работы па ажыццяўленні ўнутранага кантролю за апрацоўкай персанальных даных уключае ў сябе:

  • распрацоўку сумесна з зацікаўленымі структурнымі падраздзяленнямі Аператара лакальных прававых актаў па пытаннях абароны персанальных даных;
  • маніторынг захавання ў структурных падраздзяленнях Аператара патрабаванняў заканадаўства і лакальных прававых актаў у сферы абароны персанальных даных, а таксама кантроль наяўнасці ва ўказаных падраздзяленнях умоў, якія забяспечваюць захаванасць персанальных даных і выключаюць несанкцыянаваны доступ да іх;
  • арганізацыю азнаямлення работнікаў Аператара і іншых асоб, якія непасрэдна ажыццяўляюць апрацоўку персанальных даных, з нормамі заканадаўства і лакальных прававых актаў у сферы абароны персанальных даных, у тым ліку з патрабаваннямі па абароне персанальных даных, і навучання названых работнікаў;
  • унясенне прапаноў аб назначэнні работнікаў структурных падраздзяленняў Аператара, адказных за рэалізацыю гэтай Палітыкі і іншых лакальных прававых актаў па пытаннях абароны персанальных даных.

Структурныя падраздзяленні і работнікі Аператара, адказныя за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных даных, маюць права:

  • запытваць і атрымліваць ва ўстаноўленым парадку ад структурных падраздзяленняў і работнікаў Аператара звесткі і матэрыялы, неабходныя для належнага выканання функцый, вызначаных сапраўднай Палітыкай і іншымі лакальных прававых актаў у сферы аховы персанальных даных;
  • уносіць на разгляд упаўнаважаных асоб Аператара прапановы, накіраваныя на ўстараненне прычын і ўмоў, якія садзейнічаюць учыненню парушэнняў заканадаўства і лакальных прававых актаў у сферы абароны персанальных даных, а таксама на ўдасканаленне ўнутранага кантролю за апрацоўкай персанальных даных;
  • прымаць удзел у мерапрыемствах, якія праводзяцца ў структурных падраздзяленнях Аператара па пытаннях, якія датычацца забеспячэння абароны персанальных даных;
  • патрабаваць ад структурных падраздзяленняў і службовых асоб Аператара прыняцця ў адпаведнасці з кампетэнцыяй неабходных мер да выканання патрабаванняў заканадаўства і лакальных прававых актаў у сферы абароны персанальных даных;
  • прыцягваць работнікаў Аператара, якія валодаюць неабходнымі ведамі і кампетэнцыяй у тэхнічнай або ў іншых сферах, да навучання работнікаў аператара і іншых асоб, якія непасрэдна ажыццяўляюць апрацоўку персанальных даных;
    уносіць ва ўстаноўленым парадку прапановы аб прыцягненні да дысцыплінарнай адказнасці работнікаў, якія парушылі патрабаванні заканадаўства і лакальных прававых актаў у сферы абароны персанальных даных;
  • выконваць іншыя абавязкі, прадугледжаныя лакальным прававым актам і арганізацыйна-распарадчымі дакументамі Аператара.

26. Персанальная адказнасць за выкананне патрабаванняў заканадаўства і лакальных нарматыўных актаў Аператара ў галіне персанальных даных, а таксама за забеспячэнне канфідэнцыяльнасці і бяспекі персанальных даных у структурных падраздзяленнях Аператара ўскладаецца на іх кіраўнікоў.

Калі ласка, калі Вы знайшлі памылку ў тэксце дапамажыце нам яе выправіць - выдзеліце памылку мышкай і націсніце Ctrl + Enter