Защита персональных данных

Защита персональных данных — один из ключевых приоритетов ОАО “БМРЦ”.

С целью соблюдения прав и свобод в области защиты личной информации мы разработали Политику ОАО “БМРЦ” в отношении обработки персональных данных. В ней объясняется, на каком основании, как и для каких целей обрабатываются персональные данные.

Политика ОАО “БМРЦ”
в отношении обработки персональных данных

1. Настоящая Политика разработана во исполнение абзаца третьего пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-З “О защите персональных данных” (далее – Закон), определяет подходы ОАО “БМРЦ” к обработке и защите персональных данных субъектов персональных данных, процессы и цели такой обработки, права субъектов персональных данных и механизм их реализации.

2. Настоящая Политика не применяется к обработке персональных данных пользователей официального интернет-сайта ОАО “БМРЦ” (в части куки-файлов) и при видеонаблюдении.

3. Для целей настоящей Политики термины используются в значениях, определенных статьей 1 Закона.

4.Почтовый адрес ОАО “БМРЦ”: ул. Кальварийская, 7, 220004, г. Минск; адрес в сети Интернет: www.bisc.by, адрес электронной почты: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript..

5. ОАО “БМРЦ” организует и (или) осуществляет обработку персональных данных в целях выполнения функций, возложенных на него законодательством, а также в случаях, предусмотренных локальными правовыми актами.

6. Устанавливаемые ОАО “БМРЦ” процессы обработки персональных данных, цели их обработки, категории субъектов персональных данных, перечень обрабатываемых персональных данных, сроки их хранения, правовые основания обработки персональных данных, при осуществлении которых ОАО “БМРЦ” является самостоятельным оператором, представлены в приложении 1.
Процессы обработки персональных данных, цели их обработки, категории субъектов персональных данных, перечень обрабатываемых персональных данных, сроки их хранения, правовые основания обработки персональных данных, при осуществлении которых ОАО “БМРЦ” является уполномоченным лицом Национального банка Республики Беларусь, представлены в приложении 2.

7. ОАО “БМРЦ” организует и (или) осуществляет обработку персональных данных с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов: обработка персональных данных организуется и (или) осуществляется на законной и справедливой основе;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных в порядке и на условиях, установленных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных, если иное не установлено законодательными актами;
обработка персональных данных организуется и (или) осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки;
обработка может включать следующие действия с персональными данными: сбор, систематизацию, хранение, изменение, использование, блокирование, предоставление, удаление, уничтожение.

8. При обработке персональных данных ОАО “БМРЦ” принимает правовые, организационные и технические меры по защите персональных данных от несанкционированного или случайного доступа к ним, удаления, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе: определяет структурное подразделение, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
осуществляет классификацию информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты;
осуществляет техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
определяет угрозы безопасности персональных данных при их обработке;
поддерживает в актуальном состоянии перечень информационных ресурсов (систем), содержащих персональные данные;
определяет и поддерживает в актуальном состоянии перечень уполномоченных лиц, осуществляющих обработку персональных данных;
хранит персональные данные в условиях, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним;
принимает локальные правовые акты, определяющие порядок обработки и защиты персональных данных, внутреннего контроля за обработкой персональных данных;
организует обучение работников ОАО “БМРЦ”, непосредственно осуществляющих обработку персональных данных;
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства и локальных правовых актов в области защиты персональных данных;
принимает меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости обновляет их в случаях, предусмотренных законодательством;
разъясняет субъекту персональных данных его права, связанные с обработкой персональных данных;
уведомляет уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных не позднее трех рабочих дней после того, как ОАО “БМРЦ” стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
совершает иные действия, предусмотренные законодательством.

9. ОАО “БМРЦ” может поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора с учетом требований законодательства.
Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению ОАО “БМРЦ” в рамках действующих договоров для оказания услуг по сопровождению систем (программных средств, программных продуктов), услуг хостинга, указан в приложении 3.

10. Трансграничная передача персональных данных осуществляется при оказании услуг, связанных с необходимостью передачи финансовой информации (финансовых сообщений), на основании платежных указаний физических лиц (клиентов банков). Трансграничная передача персональных данных на территорию иностранного государства может осуществляться если:
на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных – без ограничений при наличии правовых оснований, предусмотренных Законом;
на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных – в случаях, предусмотренных статьей 9 Закона, в том числе:
когда дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

11. Доступ к обрабатываемым ОАО “БМРЦ” персональным данным предоставляется работникам ОАО “БМРЦ” в соответствии с их должностными обязанностями и в установленном в ОАО “БМРЦ” порядке.

12. ОАО “БМРЦ” осуществляет передачу персональных данных исключительно в случаях, предусмотренных законодательством (в налоговые органы, ФСЗН, страховые компании, учреждения образования, военные комиссариаты и иные государственные органы).

13. Условиями прекращения обработки персональных данных является достижение целей обработки персональных данных, а также истечение срока действия и (или) отзыв согласия субъекта персональных данных на их обработку, за исключением случаев, определенных законодательством.

14. Сроки хранения персональных данных определены в приложениях 1, 2 и не могут превышать сроков, соответствующих заявленным целям обработки персональных данных, в случае если сроки хранения персональных данных не установлены законодательством.

15. За действия (бездействие), повлекшие незаконное ознакомление третьих лиц со сведениями, являющимися персональными данными, или за незаконное использование персональных данных, а также за разглашение персональных данных ОАО “БМРЦ” несет ответственность, предусмотренную законодательными актами.

16. Субъект персональных данных имеет право, если иное не предусмотрено законодательными актами:

16.1. на отзыв своего согласия, если для обработки персональных данных ОАО “БМРЦ” обращалось к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании договора (например, при реализации образовательных программ) либо в соответствии с требованиями законодательства (например, при проведении контроля либо рассмотрении поступившего обращения);

16.2. на получение информации, касающейся обработки своих персональных данных, содержащей сведения о: месте нахождения ОАО “БМРЦ”;
подтверждения факта обработки персональных данных обратившегося лица ОАО “БМРЦ”;
его персональных данных и источнике их получения;
правовых основаниях и целях обработки персональных данных;
сроке, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
наименовании и месте нахождения уполномоченного лица (уполномоченных лиц);
иной информации, предусмотренной законодательством;

16.3. требовать от ОАО “БМРЦ” внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;

16.4. получить от ОАО “БМРЦ” информацию о предоставлении своих персональных данных, обрабатываемых ОАО “БМРЦ”, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

16.5. требовать от ОАО “БМРЦ” бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

16.6. обжаловать действия (бездействие) и решения ОАО “БМРЦ”, нарушающие его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь, в порядке, установленном законодательством об обращениях граждан и юридических лиц, и (или) в судебном порядке, установленном гражданским процессуальным законодательством.

16.7. осуществлять другие права, предусмотренные Законом и иными законодательными актами.

17. Информация, касающаяся обработки персональных данных, не предоставляется субъекту персональных данных, если обработка персональных данных осуществляется: в соответствии с законодательством о государственной статистике;
в соответствии с законодательством в области национальной безопасности, борьбы с коррупцией, борьбы с терроризмом и противодействии экстремизму, предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
в соответствии с процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;
в соответствии с законодательством об исполнительном производстве;
в иных случаях, предусмотренных законодательными актами.

18. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ОАО “БМРЦ” может продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Законом и иными законодательными актами.

19. Для реализации своих прав, связанных с обработкой ОАО “БМРЦ” персональных данных, субъект персональных данных вправе обратиться в ОАО “БМРЦ” с заявлением, составленным в письменной форме, по почтовому адресу, указанному в пункте 4 главы 1 настоящей Политики, а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено. Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
личную подпись.
ОАО “БМРЦ” не рассматривает заявления субъектов персональных данных, направленные иными способами (телефон, факс и т.п.).

20. За содействием в реализации своих прав субъект персональных данных может также обратиться в структурное подразделение, ответственное за осуществление внутреннего контроля за обработкой персональных данных, направив сообщение на электронный адрес: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript.. или по телефону +375 17 359-26-69.

Политика ОАО “БМРЦ”
в отношении обработки куки

1. Положение о политике в отношении обработки куки разработано на основе и во исполнение Закона Республики Беларусь от 07.05.2021 № 99-З “О защите персональных данных”.

2.Куки (англ. cookies) – это текстовые файлы, сохраненные в браузере компьютера (мобильного устройства) пользователя официального интернет-сайта ОАО “БМРЦ” (далее – сайт) при его посещении для отражения совершенных действий. Эти файлы позволяют не вводить заново и выбирать те же параметры при повторном посещении сайта, например, выбор языковой версии.

3. Целью обработки куки является обеспечение удобства пользователей сайта и повышение качества его функционирования.

4. Сведения о действиях пользователей сайта обрабатываются для совершенствования продуктов и услуг ОАО “БМРЦ”, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам ОАО “БМРЦ”.

5. Куки не передаются третьим лицам и не используются для идентификации субъектов персональных данных.

6. На сайте обрабатываются следующие типы технических куки: постоянные – позволяют обеспечить индивидуальный опыт использования сайта и устанавливаются в ответ на действия субъекта персональных данных. Постоянные куки хранятся не более года; сессионные – существуют только во временной памяти в течение времени, когда пользователь находится на странице сайта. Браузеры обычно удаляют сессионные куки после того, как пользователь закрывает окно сайта.

Технические (постоянные, сессионные) файлы куки требуются для обеспечения правильного функционирования сайта, в том числе корректного использования предлагаемых на нем возможностей, а также для запоминания индивидуальных настроек пользователя (язык и др.).

Эти файлы куки не сохраняют какую-либо информацию о пользователе, которая может быть использована в рекламных (маркетинговых) целях или для оценки его поведения на сайте. Такие данные не передаются в сторонние аналитические системы.

7. Срок действия постоянных куки истекает при достижении цели, для которой они используются, или когда они удаляются вручную. Постоянные куки имеют дату удаления и обычно используются в процессе настройки или регистрации, чтобы не приходилось постоянно вводить пароль.

8. Срок действия сессионных куки истекает, когда пользователь покидает страницу или закрывает браузер, то есть они активны в течение всего периода посещения сайта и, следовательно, при выходе удаляются с компьютера.

9. Сайт использует (обрабатывает) только те куки, которые строго необходимы для функционирования сайта и предлагаемых им сервисов.

При этом некоторые браузеры позволяют посещать интернет-сайты в режиме “инкогнито”, чтобы ограничить хранимый на компьютере объем информации и автоматически удалять сессионные куки. Кроме того, субъект персональных данных может удалить ранее сохраненные куки, выбрав соответствующую опцию в истории браузера.

Выписка из Положения
о телевизионной системе видеонаблюдения в ОАО “БМРЦ”

1. Настоящее Положение устанавливает порядок ведения видеонаблюдения в помещениях и местах общего доступа объектов ОАО “БМРЦ” (далее – Общество), расположенных по адресам: г. Минск, ул. Кальварийская, 7, г. Минск, ул. Калиновского, 72а, а также определяет цели и задачи осуществления видеонаблюдения, порядок организации видеонаблюдения, порядок доступа к архивным записям, их хранения и уничтожения, привлечения к ответственности за нарушение порядка использования телевизионной системы видеонаблюдения, права субъектов персональных данных.

2. Настоящее Положение разработано в соответствии с Законом Республики Беларусь от 10.11.2008 № 455-3 “Об информации, информатизации и защите информации”, а также в соответствии с Законом Республики Беларусь от 07.05.2021 № 99 З “О защите персональных данных”.

3. Под видеонаблюдением понимается непосредственное осуществление видеонаблюдения посредством использования видеокамер для получения видеоинформации о ситуации на объектах и в помещениях, о действиях лиц, находящихся в зданиях и на территории Общества, а также запись полученного изображения и его хранение для последующего использования. Видеонаблюдение в Обществе ведется круглосуточно и непрерывно при помощи камер открытого видеонаблюдения. Видеонаблюдение не используется для:
учета фактически отработанного работниками Общества рабочего времени;
уникальной идентификации лиц, изображенных на видеозаписи;
записи звука.

4. Телевизионная система видеонаблюдения в Обществе является элементом общей системы безопасности Общества и ведется с целью:

4.1. обеспечения безопасности Общества (в соответствии с абзацем двадцатым статьи 6 и пунктом 1 статьи 17 Закона Республики Беларусь “О защите персональных данных”);

4.2. выполнения требований пропускного и внутриобъектового режимов (на основании Указа Президента Республики Беларусь от 25.10.2007 № 534 “О мерах по совершенствованию охранной деятельности”, Положения о применении систем безопасности и систем видеонаблюдения, утвержденного постановлением Совета Министров Республики Беларусь от 11.12.2012 № 1135);

4.3. обеспечения производственно-технологической, исполнительской и трудовой дисциплины (в соответствии с пунктом 2 части первой статьи 55 Трудового кодекса Республики Беларусь);

4.4. документальной фиксации возможных противоправных действий (на основании Указа Президента Республики Беларусь от 25.10.2007 № 534, Положения о применении систем безопасности и систем видеонаблюдения);

4.5. предоставления архивной информации при проведении возможных расследований в случаях необходимости (на основании Указа Президента Республики Беларусь от 25.10.2007 № 534, Положения о применении систем безопасности и систем видеонаблюдения).

13. Установка телевизионной системы видеонаблюдения осуществляется в соответствии с разработанной и утвержденной в установленном порядке проектно-сметной документацией. Камеры видеонаблюдения устанавливаются в открытых для общего доступа местах.

Запрещается устанавливать видеокамеры в помещениях общего пользования (туалетные комнаты, душевые, раздевалки).

14. Запрещается использование устройств, предназначенных для негласного получения информации (скрытых камер).

22. Субъект персональных данных, зафиксированный камерами видеонаблюдения, расположенными в помещениях ОАО “БМРЦ”, имеет право:

22.1. на получение информации, касающейся обработки своих персональных данных в Обществе, содержащей:
сведения о местонахождении ОАО “БМРЦ”;
подтверждение факта обработки персональных данных обратившегося лица в ОАО “БМРЦ”;
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
иную информацию, предусмотренную законодательством;

22.2. на получение от ОАО “БМРЦ” информации о предоставлении своих персональных данных, обрабатываемых в ОАО “БМРЦ”, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

22.3. на обжалование действий (бездействия) и решений ОАО “БМРЦ”, нарушающих его права при обработке персональных данных, и обращение в суд в порядке, установленном гражданским процессуальным законодательством.

23. Для реализации своих прав, связанных с обработкой изображения субъекта персональных данных, зафиксированного камерами видеонаблюдения, расположенными в помещениях ОАО “БМРЦ”, субъект персональных данных подает в ОАО “БМРЦ” заявление в письменной форме или в виде электронного документа.

Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

В связи с тем, что в ОАО “БМРЦ” видеонаблюдение не используется для уникальной идентификации лиц, изображенных на видеозаписи, изложение сути требований субъекта персональных данных должно содержать дату и период времени записи изображения субъекта персональных данных. Период времени определяется в пределах часового интервала.

24. Общество не рассматривает заявления субъектов персональных данных, которые не соответствуют требованиям пункта 23 настоящего Положения. За содействием в реализации прав, связанных с обработкой персональных данных в Обществе, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Обществе, в том числе направив сообщение на адрес электронной почты: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript..