Защита персональных данных
Защита персональных данных — один из ключевых приоритетов ОАО “БМРЦ”.
С целью соблюдения прав и свобод в области защиты личной информации мы разработали Политику ОАО “БМРЦ” в отношении обработки персональных данных. В ней объясняется, на каком основании, как и для каких целей обрабатываются персональные данные.
Политика ОАО “БМРЦ”
в отношении обработки персональных данных
1. Настоящая Политика разработана во исполнение абзаца третьего пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-З “О защите персональных данных” (далее – Закон), определяет подходы ОАО “БМРЦ” к обработке и защите персональных данных субъектов персональных данных, процессы и цели такой обработки, права субъектов персональных данных и механизм их реализации.
2. Настоящая Политика не применяется к обработке персональных данных пользователей официального интернет-сайта ОАО “БМРЦ” (в части куки-файлов).
3. Для целей настоящей Политики термины используются в значениях, определенных статьей 1 Закона.
4. Почтовый адрес ОАО “БМРЦ”: ул. Кальварийская, 7, 220048, г. Минск; адрес в сети Интернет: www.bisc.by,
адрес электронной почты:
5. ОАО “БМРЦ” организует и (или) осуществляет обработку персональных данных в целях выполнения функций, возложенных на него законодательством, а также в случаях, предусмотренных локальными правовыми актами.
6. Устанавливаемые ОАО “БМРЦ” процессы обработки персональных данных, цели их обработки, категории субъектов персональных данных, перечень обрабатываемых персональных данных, правовые основания обработки персональных данных представлены в приложении “Процессы обработки персональных данных”.
7. ОАО “БМРЦ” организует и (или) осуществляет обработку персональных данных с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных,
в том числе права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных организуется и (или) осуществляется на законной и справедливой основе;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных в порядке и на условиях, установленных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных, если иное не установлено законодательными актами;
обработка персональных данных организуется и (или) осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
8. При обработке персональных данных ОАО “БМРЦ” принимает правовые, организационные и технические меры по защите персональных данных от несанкционированного или случайного доступа к ним,
удаления, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:
назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
осуществляет классификацию информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты;
осуществляет техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
определяет угрозы безопасности персональных данных при их обработке;
поддерживает в актуальном состоянии перечень информационных ресурсов (систем), содержащих персональные данные;
определяет и поддерживает в актуальном состоянии перечень уполномоченных лиц, осуществляющих обработку персональных данных;
хранит персональные данные в условиях, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним;
принимает локальные правовые акты, определяющие порядок обработки и защиты персональных данных;
организует обучение работников ОАО “БМРЦ”, непосредственно осуществляющих обработку персональных данных;
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства и локальных правовых актов в области защиты персональных данных;
принимает меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости обновляет их в случаях, предусмотренных законодательством;
уведомляет уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных не позднее трех рабочих дней после того, как ОАО “БМРЦ”
стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
совершает иные действия, предусмотренные законодательством.
9. ОАО “БМРЦ” может поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора с учетом требований законодательства.
10. Трансграничная передача персональных данных осуществляется ОАО “БМРЦ” для выполнения обязанностей (полномочий), предусмотренных Указом Президента Республики Беларусь от 10.10.2017 № 371 “О Белорусском межбанковском расчетном центре” и в соответствии с эксплуатационной документацией на автоматизированные (информационные) системы (ресурсы), техническим оператором которых является ОАО “БМРЦ”, на территории государств, в которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.
11. Доступ к обрабатываемым ОАО “БМРЦ” персональным данным предоставляется работникам ОАО “БМРЦ” в соответствии с их должностными обязанностями и в установленном в ОАО “БМРЦ” порядке.
12. ОАО “БМРЦ” не осуществляет передачу персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством.
13. Условиями прекращения обработки персональных данных является достижение целей обработки персональных данных, а также истечение срока действия и (или) отзыв согласия субъекта персональных данных на их обработку, за исключением случаев, определенных законодательством
14. Сроки хранения персональных данных определены в приложении и не могут превышать сроков, соответствующих заявленным целям обработки персональных данных, в случае если сроки хранения персональных данных не установлены законодательством.
15. За действия (бездействие), повлекшие незаконное ознакомление третьих лиц со сведениями, являющимися персональными данными, или за незаконное использование персональных данных, а также за разглашение персональных данных ОАО “БМРЦ” несет ответственность, предусмотренную законодательными актами.
16. Субъект персональных данных имеет право, если иное не предусмотрено законодательными актами:
16.1. на отзыв своего согласия, если для обработки персональных данных ОАО “БМРЦ” обращалось к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании договора (например, при реализации образовательных программ) либо в соответствии с требованиями законодательства (например, при проведении контроля либо рассмотрении поступившего обращения);
16.2. на получение информации, касающейся обработки своих персональных данных, содержащей:
место нахождения ОАО “БМРЦ”;
подтверждение факта обработки персональных данных обратившегося лица ОАО “БМРЦ”;
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица (уполномоченных лиц);
иную информацию, предусмотренную законодательством;
16.3. требовать от ОАО “БМРЦ” внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
16.4. получить от ОАО “БМРЦ” информацию о предоставлении своих персональных данных, обрабатываемых ОАО “БМРЦ”, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
16.5. требовать от ОАО “БМРЦ” бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
16.6. обжаловать действия (бездействие) и решения ОАО “БМРЦ”, нарушающие его права при обработке персональных данных, в судебном порядке, установленном гражданским процессуальным законодательством;
16.7. осуществлять другие права, предусмотренные Законом и иными законодательными актами.
17. Информация, касающаяся обработки персональных данных, не предоставляется субъекту персональных данных, если обработка персональных данных осуществляется:
в соответствии с законодательством о государственной статистике;
в соответствии с законодательством в области национальной безопасности, борьбы с коррупцией, борьбы с терроризмом и противодействии экстремизму, предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
в соответствии с процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;
в соответствии с законодательством об исполнительном производстве;
в иных случаях, предусмотренных законодательными актами.
18. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ОАО “БМРЦ” может продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Законом и иными законодательными актами.
19. Для реализации своих прав, связанных с обработкой ОАО “БМРЦ” персональных данных, субъект персональных данных вправе обратиться в ОАО “БМРЦ” с заявлением, составленным в письменной форме по почтовому адресу,
указанному в пункте 4 главы 1 настоящей Политики, а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено. Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
личную подпись.
ОАО “БМРЦ” не рассматривает заявления субъектов персональных данных, направленные иными способами (e-mail, телефон, факс и т.п.).
20. За содействием в реализации своих прав субъект персональных данных может также обратиться к лицу,
ответственному за осуществление внутреннего контроля за обработкой персональных данных, направив сообщение на электронный адрес:
Политика ОАО “БМРЦ”
в отношении обработки куки
1. Положение о политике в отношении обработки куки разработано на основе и во исполнение Закона Республики Беларусь от 07.05.2021 № 99-З “О защите персональных данных”.
2. Куки (англ. cookies) – это текстовые файлы, сохраненные в браузере компьютера (мобильного устройства) пользователя официального интернет-сайта ОАО “БМРЦ” (далее – сайт) при его посещении для отражения совершенных действий. Эти файлы позволяют не вводить заново и выбирать те же параметры при повторном посещении сайта, например, выбор языковой версии.
3. Целью обработки куки является обеспечение удобства пользователей сайта и повышение качества его функционирования.
4. Сведения о действиях пользователей сайта обрабатываются для совершенствования продуктов и услуг ОАО “БМРЦ”, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам ОАО “БМРЦ”.
5. Куки не передаются третьим лицам и не используются для идентификации субъектов персональных данных.
6. На сайте обрабатываются следующие типы куки: постоянные – позволяют обеспечить индивидуальный опыт использования сайта и устанавливаются в ответ на действия субъекта персональных данных. Постоянные куки хранятся не более года; сессионные – существуют только во временной памяти в течение времени, когда пользователь находится на странице сайта. Браузеры обычно удаляют сессионные куки после того, как пользователь закрывает окно сайта.
7. Срок действия постоянных куки истекает при достижении цели, для которой они используются, или когда они удаляются вручную. Постоянные куки имеют дату удаления и обычно используются в процессе настройки или регистрации, чтобы не приходилось постоянно вводить пароль.
8. Срок действия сессионных куки истекает, когда пользователь покидает страницу или закрывает браузер, то есть они активны в течение всего периода посещения сайта и, следовательно, при выходе удаляются с компьютера.
9. Пользователь соглашается на использование куки, если продолжает использовать сайт без изменения настроек браузера.
10. Отказаться от обработки куки субъект персональных данных может в настройках браузера. В таком случае сайт будет использовать только те куки, которые строго необходимы для функционирования сайта и предлагаемых им сервисов.
При этом некоторые браузеры позволяют посещать интернет-сайты в режиме “инкогнито”, чтобы ограничить хранимый на компьютере объем информации и автоматически удалять сессионные куки. Кроме того, субъект персональных данных может удалить ранее сохраненные куки, выбрав соответствующую опцию в истории браузера.
11. В настоящее положение могут вноситься изменения путем изложения в новой редакции. Новая редакция положения о политике использования файлов куки вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией документа.
Политика ОАО “БМРЦ”
в отношении телевизионной системы видеонаблюдения
1. Настоящее Положение устанавливает порядок ведения видеонаблюдения в помещениях и местах общего доступа объектов ОАО “БМРЦ” (далее – Общество), расположенных по адресам: г. Минск, ул. Кальварийская, 7, г. Минск, ул. Калиновского, 72а, г. Узда, ул. Степанова, 19, а также определяет цели осуществления видеонаблюдения, порядок доступа к архивным записям, их хранения и уничтожения, привлечения к ответственности за нарушение порядка использования телевизионной системы видеонаблюдения.
2. Данный локальный правовой акт разработан в соответствии с Законом Республики Беларусь от 10 ноября 2008 г. № 455-3 “Об информации, информатизации и защите информации”.
3. Под видеонаблюдением понимается непосредственное осуществление видеонаблюдения посредством использования видеокамер для получения видеоинформации о ситуации на объектах и в помещениях, о действиях лиц, находящихся в зданиях и на территории Общества, а также запись полученного изображения и его хранение для последующего использования.
4. Телевизионная система видеонаблюдения в Обществе является элементом общей системы безопасности Общества и ведется с целью:
4.1. обеспечения безопасности Общества;
4.2. ведения контроля за поддержанием трудовой дисциплины;
4.3. документальной фиксации возможных противоправных действий;
4.4. предоставления архивной информации при проведении возможных расследований в случаях необходимости.
5. Ознакомление работников Общества с настоящим Положением проводится в установленном в Обществе порядке.
6. Актуальная редакция Положения размещается на официальном сайте ОАО “БМРЦ” в сети интернет по адресу www.bisc.by и в обязательном порядке доводится до сведения организаций-арендаторов (ссудополучателей), занимающих помещения (площади) в зданиях Общества (далее – организации-арендаторы).
7. Информирование о работе телевизионной системы видеонаблюдения осуществляется путем размещения специальных информационных табличек на входах в здания Общества.
8. Телевизионная система видеонаблюдения установлена для выполнения следующих задач:
8.1. обеспечение безопасности персонала Общества, работников организаций-арендаторов, посетителей, имущества, находящегося в зданиях и на территории Общества;
8.2. обеспечение антитеррористической защиты;
8.3. обеспечение противопожарной защиты;
8.4. предоставление архивных видеозаписей при ликвидации последствий чрезвычайных и (или) нештатных ситуаций;
8.5. идентификация личности (при условии наличия в базе данных системы информации о человеке);
8.6. фиксация фактов нарушений трудового распорядка работниками Общества, а также работниками организаций-арендаторов (при необходимости);
8.7. фиксация возможных противоправных действий со стороны работников Общества, работников организаций-арендаторов, посетителей, а также правонарушений на прилегающей территории с целью своевременного их пресечения;
8.8. оказание помощи при возникновении спорных и (или) конфликтных вопросов;
8.9. обеспечение объективности расследований в случаях необходимости.
9. Решение об установке телевизионной системы видеонаблюдения принимается Председателем Правления Общества (лицом, исполняющим его обязанности в установленном порядке).
10. Телевизионная система видеонаблюдения Общества включает в себя ряд устройств: видеокамеры, мониторы, сетевые коммутаторы, записывающие устройства, программное обеспечение и т.п.
11. Система видеонаблюдения должна обеспечивать:
11.1. видеофиксацию текущего состояния объекта видеонаблюдения;
11.2. сохранение архива видеозаписей для последующего анализа;
11.3. воспроизведение ранее записанной информации;
11.4. оперативный доступ к архиву видеозаписей за конкретный период времени и с определенных видеокамер.
12. Входящие в состав видеоаппаратуры компоненты не должны оказывать вредное влияние на здоровье человека, а также химическое, биологическое, радиационное, механическое, электромагнитное и термическое воздействие на окружающую среду.
13. Телевизионная система видеонаблюдения Общества выполняет различные функции: распознавание человека, запись ситуационной картины в зданиях и помещениях Общества, запись действий администраторов, задействованных в обеспечении непрерывной работы автоматизированной системы межбанковских расчетов и дежурного персонала Общества.
14. Установка телевизионной системы видеонаблюдения осуществляется в соответствии с разработанной и утвержденной в установленном порядке проектно-сметной документацией.
15. Запрещается использование устройств, предназначенных для негласного получения информации (скрытых камер).
16. Ответственным подразделением за эксплуатацию телевизионной системы видеонаблюдения является Управление безопасности Общества.
17. Срок хранения видеозаписей составляет не менее 30 (тридцати) календарных дней, а в помещениях с особыми условиями доступа (определяются в соответствии с локальными правовыми актами) – не менее 365 (трехсот шестидесяти пяти) календарных дней.
18. В случае выявления конфликтной (нештатной) ситуации срок хранения соответствующей фиксирующей видеозаписи составляет не менее 365 (трехсот шестидесяти пяти) дней с момента установления факта возникновения конфликта.
19. В случае выявления конфликтной ситуации между посетителем и работником Общества (организации-арендатора) фиксирующие видеозаписи подлежат хранению в течение срока исковой давности, то есть в течение 3 (трех) лет с момента установления факта возникновения конфликта.
20. В случае выявления административного проступка либо уголовно-наказуемого деяния фиксирующие видеозаписи хранятся в течение всего срока производства по таким делам. При поступлении в установленном законодательством Республики Беларусь порядке запроса (или по постановлению о выемке записей видеонаблюдения) правоохранительных или контролирующих органов Республики Беларусь копии видеозаписей передаются соответствующим органам в соответствии с пунктом 23 настоящего Положения.
21. Уничтожение видеозаписей происходит в автоматическом режиме по мере накопления видеозаписей на записывающих устройствах.
22. Доступ к записям телевизионной системы видеонаблюдения имеют:
22.1. Председатель Правления Общества (лицо, исполняющее его обязанности в установленном порядке);
22.2. начальник Управления безопасности Общества (лицо, исполняющее его обязанности в установленном порядке);
22.3. работники Управления безопасности Общества, в должностные обязанности которых входит сопровождение и эксплуатация систем видеонаблюдения.
23. Передача архивных записей телевизионной системы видеонаблюдения третьей стороне осуществляется Управлением безопасности Общества на основании письменного запроса (постановления о выемке записей видеонаблюдения) правоохранительных или контролирующих органов Республики Беларусь, зарегистрированного в установленном в Обществе порядке, c разрешающей резолюцией Председателя Правления Общества (лица, исполняющего его обязанности в установленном порядке).
24. Использование изображения лиц, зафиксированных видеокамерой, без их согласия возможно только в следующих случаях:
24.1. изображение используется в государственных интересах;
24.2. в рамках проведения служебного расследования;
24.3. при рассмотрении обращений граждан и юридических лиц;
24.4. в рамках разбирательства по фактам нарушения трудовой дисциплины;
24.5. изображение получено при съемке, которая проводится в местах, открытых для свободного перемещения, контролируемой территории возле зданий Общества.
25. Общество принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных при работе с телевизионной системой видеонаблюдения.
26. Обработка персональных данных при работе с телевизионной системой видеонаблюдения осуществляется с соблюдением законодательства Республики Беларусь и ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
27. Хранение персональных данных осуществляется до момента достижения цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей.
28. Лица, виновные в причинении вреда нарушением конфиденциальности записей камер телевизионной системы видеонаблюдения, несут ответственность в порядке, предусмотренном законодательством Республики Беларусь.