Палітыка апрацоўкі персанальных дадзеных

Дадатак 1 да загаду УАЗ "1-я ГКБ"а 14.11.2021 №822

Палітыка

у дачыненні да апрацоўкі персанальных дадзеных установы аховы здароўя

«1-я гарадская клінічная бальніца»

ГЛАВА 1

АГУЛЬНЫЯ ПАЛАЖЭННІ

Дадзеная Палітыка ў дачыненні да апрацоўкі персанальных дадзеных (далей - Палітыка) падрыхтаваная ў выкананне патрабаванняў Закона Рэспублікі Беларусь ад 7 траўня 2021 г. № 99-З «Аб абароне персанальных дадзеных» (далей – Закон) і вызначае парадак апрацоўкі персанальных дадзеных установай аховы здароўя «1-я гарадская клінічная бальніца» і меры па забеспячэнні абароны і бяспекі персанальных дадзеных, якія прымаюцца Аператарамі.

1.2. Палітыка дзейнічае ў адносінах да ўсіх працэсаў апрацоўкі персанальных дадзеных, якія Аператары атрымліваюць аб суб'екце персанальных дадзеных.

1.3. Мэта гэтай Палітыкі - забеспячэнне належнай абароны персанальных даных ад несанкцыянаванага доступу і разгалашэння, захаванне правоў і свабод грамадзяніна пры апрацоўцы яго персанальных даных, у тым ліку забеспячэнне абароны правоў на недатыкальнасць прыватнага жыцця, асабістую і сямейную таямніцу.

1.4. У мэтах выканання патрабаванняў п. 4 арт. 17 Закона Палітыка публікуецца ў свабодным доступе ў інфармацыйна-тэлекамунікацыйнай сетцы Інтэрнэт на сайце Аператара:  https://www.1gkb.by/.

1.5. У дадзенай Палітыцы выкарыстоўваюцца наступныя асноўныя тэрміны і іх вызначэнні:

  • блакіраванне персанальных дадзеных - спыненне доступу да персанальных дадзеных без іх выдалення;
  • інтэрнэт-рэсурс - інтэрнэт-сайт, старонка інтэрнэт-сайта, вэб-партал, форум, блог, чат, прыкладанне для мабільнага прылады і іншыя рэсурсы, якія маюць падключэнне да сеткі Інтэрнэт;
  • інфармацыйная сістэма персанальных даных - сукупнасць змешчаных у базах даных персанальных даных і забяспечваючых іх апрацоўку інфармацыйных тэхналогій і тэхнічных сродкаў;
  • абязлічванне персанальных дадзеных - дзеянні, у выніку якіх становіцца немагчымым без выкарыстання дадатковай інфармацыі вызначыць прыналежнасць персанальных дадзеных канкрэтнаму суб'екту персанальных дадзеных;
  • апрацоўка персанальных дадзеных - любое дзеянне (аперацыя) або сукупнасць дзеянняў (аперацый) з персанальнымі дадзенымі, якія здзяйсняюцца з выкарыстаннем сродкаў аўтаматызацыі або без іх выкарыстання, уключаючы збор, сістэматызацыя, захоўванне, змяненне, выкарыстанне, абязлічванне, блакіраванне, распаўсюджванне, прадастаўленне, выдаленне персанальных дадзеных дадзеных;
  • аператар - установа аховы здароўя "1-я гарадская клінічная бальніца";
  • персанальныя дадзеныя - любая інфармацыя, якая адносіцца да ідэнтыфікаванай фізічнай асобе або фізічнай асобе, якая можа быць ідэнтыфікавана;
  • прадастаўленне персанальных даных - дзеянні, накіраваныя на азнаямленне з персанальнымі данымі пэўных асобы або кола асоб;
  • распаўсюджванне персанальных даных - дзеянні, накіраваныя на раскрыццё персанальных даных нявызначанаму колу асоб;
  • суб'ект персанальных даных - фізічная асоба, адносна якой ажыццяўляецца апрацоўка персанальных даных;
  • выдаленне персанальных дадзеных - дзеянні, у выніку якіх становіцца немагчымым аднавіць змест персанальных дадзеных у інфармацыйнай сістэме персанальных дадзеных і (або) у выніку якіх знішчаюцца матэрыяльныя носьбіты персанальных дадзеных.

Іншыя тэрміны і іх азначэнні, якія ўжываюцца ў гэтай Палітыцы, выкарыстоўваюцца ў значэннях, вызначаных заканадаўствам.

ГЛАВА 2

Нарматыўныя прававыя акты рэспублікі Беларусь, лакальныя прававыя акты і іншыя дакументы, у адпаведнасці з якімі вызначаецца палітыка апрацоўкі асобы.

2.1. Палітыка аператара ў адносінах да апрацоўкі даных вызначаецца ў адпаведнасці з наступнымі нарматыўнымі прававымі актамі:

  • Канстытуцыя Рэспублікі Беларусь;
  • Працоўны кодэкс Рэспублікі Беларусь;
  • Закон Рэспублікі Беларусь ад 07.05.2021 № 99-З "Аб абароне персанальных даных";
  • Закон Рэспублікі Беларусь ад 21.07.2008 № 418-З "Аб рэгістры насельніцтва";
  • Закон Рэспублікі Беларусь ад 10.11.2008 № 455-З "Аб інфармацыі, інфарматызацыі і абароне інфармацыі";
  • Закон Рэспублікі Беларусь ад 28.05.2021 № 114-З "Аб змяненні законаў па пытаннях працоўных адносін";
  • Іншыя нарматыўныя прававыя акты Рэспублікі Беларусь і нарматыўныя дакументы ўпаўнаважаных органаў дзяржаўнай улады.

2.2. У мэтах рэалізацыі палажэнняў Палітыкі ў Аператара распрацоўваюцца адпаведныя лакальныя прававыя акты і іншыя дакументы, у тым ліку:

  • Палажэнне "Аб апрацоўцы і абароне персанальных даных у Аператара" (дадатак 2);
  • рэестр апрацовак персанальных даных Аператара (дадатак 3);
  • пералік пасад Аператара, якія маюць доступ да персанальных даных, апрацоўваных Аператарам (дадатак 4).

ГЛАВА 3

АСНОЎНЫЯ ПРЫНЦЫПЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

3.1. Апрацоўка персанальных даных ажыццяўляецца на аснове наступных прынцыпаў:

  • ажыццяўляецца са згоды суб'екта персанальных даных, за выключэннем выпадкаў, устаноўленых заканадаўствам;
  • абмяжоўваецца дасягненнем канкрэтных, загадзя заяўленых законных мэт. Не дапускаецца апрацоўка персанальных даных, не сумяшчальная з першапачаткова заяўленымі мэтамі іх апрацоўкі;
  • змест і аб'ём апрацоўваных персанальных дадзеных павінны адпавядаць заяўленым мэтам іх апрацоўкі. Апрацоўваныя персанальныя дадзеныя не павінны быць залішнімі ў адносінах да заяўленых мэт іх апрацоўкі;
  • пры апрацоўцы персанальных дадзеных забяспечваецца іх дакладнасць, дастатковасць, а ў неабходных выпадках і актуальнасць у адносінах да заяўленых мэт апрацоўкі;
  • павінна насіць празрысты характар. У гэтых мэтах суб'екту персанальных даных у выпадках, прадугледжаных Законам, прадастаўляецца адпаведная інфармацыя, якая датычыцца апрацоўкі яго персанальных даных;
  • захоўванне персанальных дадзеных ажыццяўляецца ў форме, якая дазваляе вызначыць суб'екта персанальных дадзеных не даўжэй, чым гэтага патрабуюць мэты апрацоўкі персанальных дадзеных, калі тэрмін захоўвання персанальных дадзеных не ўсталяваны заканадаўствам, дамовай, бокам якога з'яўляецца суб'ект персанальных дадзеных.

3.2. Персанальныя даныя падлягаюць знішчэнню або абязлічванню па дасягненні мэт апрацоўкі або ў выпадку страты неабходнасці ў дасягненні гэтых мэт, калі іншае не прадугледжана заканадаўствам.

ГЛАВА 4

МЭТЫ АПРАЦОЎКІ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

4.1. Мэтамі апрацоўкі Аператарам персанальных дадзеных з'яўляюцца:

  • забеспячэнне захавання заканадаўства Рэспублікі Беларусь;
  • ажыццяўленне сваёй дзейнасці ў адпаведнасці з устаноўчымі дакументамі Аператара;
  • апрацоўка паведамленняў і запытаў, якія паступілі ад суб'екта персанальных даных;
  • ажыццяўленне камунікацый з суб'ектамі персанальных даных;
  • вядзенне кадравай работы і арганізацыі ўліку работнікаў Аператара, у тым ліку прыцягненні і адбор кандыдатаў для работы ў Аператара;
  • вядзенне індывідуальнага (персаніфікаванага) уліку застрахаваных асоб;
  • вядзенне воінскага ўліку;
  • вядзенне бухгалтарскага і падатковага ўліку;
  • налічэнне і пералічэнне заработнай платы, прызначэнне і выплата дапамог;
  • запаўненне і перадача ў дзяржаўныя органы і іншыя ўпаўнаважаныя арганізацыі патрэбных форм справаздачнасці;
  • апрацоўка персанальных даных у мэтах назначэння пенсій;
  • ажыццяўленне грамадзянска-прававых адносін;
  • прадастаўленне суб'ектам персанальных даных інфармацыі аб дзейнасці Аператара, аб распрацоўцы аператарамі новых сайтаў і сервераў;
  • адпраўка суб'ектам персанальных даных апавяшчэнняў, камерцыйных прапаноў, паведамленняў рэкламна-інфармацыйнага характару;
  • правядзенне Аператарам акцый, апытанняў, інтэрв'ю, тэсціравання на сайтах і серверах Аператара;
  • ацэнка і аналіз працы сервераў Аператара, кантроль і паляпшэнне якасці сэрвісаў Аператара;
  • інфармаванне аб рабоце сайтаў Аператара;
  • рэгістрацыя і абслугоўванне акаўнтаў на сайтах і ў серверах Аператара;
  • ажыццяўленне прапускнога рэжыму;
  • выкананне іншых абавязкаў (паўнамоцтваў), прадугледжаных заканадаўствам.

ГЛАВА 5

КАТЭГОРЫІ СУБ'ЕКТАЎ ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ І ПЕРАЛІК ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ, АБРАБТВАЕМЫХ АПЕРАТАРАМ

5 Аператар можа апрацоўваць персанальныя даныя наступных катэгорый суб'ектаў персанальных даных.

5.1. Кандыдаты для прыёму на працу да Аператара:

  • прозвішча, імя, імя па бацьку;
  • пол;
  • грамадзянства;
  • дата і месца нараджэння;
  • кантактныя дадзеныя;
  • звесткі аб адукацыі, досведзе працы, кваліфікацыі;
  • іншыя персанальныя дадзеныя, якія паведамляюцца кандыдатамі ў рэзюмэ і суправаджальных лістах.

5.2. Работнікі і былыя работнікі Аператара:

  • прозвішча, уласнае імя, імя па бацьку (у тым ліку папярэднія прозвішчы, імёны і (або) імя па бацьку ў выпадку іх змянення);
  • лік, месяц, год нараджэння;
  • месца нараджэння;
  • звесткі аб грамадзянстве (падданстве), у тым ліку папярэднія грамадзянствы, іншыя грамадзянствы;
  • від, серыя, нумар, код дакумента, які сведчыць асобу, дата выдачы, найменне (код) органа, які выдаў яго;
  • адрас і дата рэгістрацыі па месцы жыхарства (месцы знаходжання), адрас фактычнага пражывання;
  • нумары працоўных, хатніх (стацыянарных) і мабільных тэлефонаў або звесткі аб іншых спосабах сувязі;
  • рэквізіты сведчання сацыяльнага страхавання;
  • рэквізіты пасведчання аб шлюбе;
  • звесткі аб сямейным становішчы, складзе сям'і і блізкіх сваяках, якія апрацоўваюцца ў адпаведнасці з заканадаўствам Рэспублікі Беларусь;
  • звесткі аб працоўнай дзейнасці;
  • звесткі аб воінскім уліку і рэквізіты дакументаў воінскага ўліку;
  • звесткі аб адукацыі (калі і якія адукацыйныя, навуковыя і іншыя арганізацыі скончыў, нумары дакументаў аб адукацыі (навучанні), спецыяльнасць па дакуменце аб адукацыі, кваліфікацыя);
  • звесткі аб вучонай ступені;
  • звесткі аб валоданні замежнымі мовамі, у тым ліку ўзровень валодання;
  • фатаграфія работніка;
  • звесткі, якія змяшчаюцца ў працоўным дагаворы (кантракце), дадатковых пагадненнях да працоўнага дагавора (кантракта), у дадатках да іх;
  • звесткі аб наяўнасці або адсутнасці судзімасці - толькі кандыдатаў для прыёму на працу (сушукальнікаў) - у выпадках, вызначаных заканадаўствам;
  • звесткі аб дзяржаўных узнагародах, іншых узнагародах і знаках адрознення;
  • звесткі аб перападрыхтоўцы і (або) павышэнні кваліфікацыі;
  • вынікі медыцынскага абследавання (агляду) работніка на прадмет прыдатнасці да выканання працоўных абавязкаў;
  • звесткі аб працоўных і сацыяльных водпусках;
  • звесткі аб заработнай плаце, рэквізіты банкаўскага рахунку для пералічэння заработнай платы і сацыяльных выплат;
  • іншыя персанальныя дадзеныя, неабходныя для забеспячэння рэалізацыі мэт апрацоўкі, указаных у пункце 8 гэтай Палітыкі.

5.3. Члены сям'і (сваякі) работнікаў Аператара:

  • прозвішча, імя, імя па бацьку;
  • ступень сваяцтва;
  • год нараджэння;
  • іншыя персанальныя дадзеныя, якія прадстаўляюцца работнікамі ў адпаведнасці з патрабаваннямі працоўнага заканадаўства.

5.4. Кліенты і контрагенты Аператара (фізічныя асобы):

  • прозвішча, імя, імя па бацьку;
  • дата і месца нараджэння;
  • дадзеныя дакумента, які сведчыць асобу;
  • адрас рэгістрацыі па месцы жыхарства;
  • кантактныя дадзеныя;
  • індывідуальны нумар падаткаплацельшчыка;
  • нумар разліковага рахунку;
  • іншыя персанальныя дадзеныя, якія прадстаўляюцца кліентамі і контрагентамі (фізічнымі асобамі), неабходныя для зняволення і выкананні дамоў.

5.5. Прадстаўнікі (работнікі) кліентаў і контрагентаў Аператара (юрыдычных асоб):

  • прозвішча, імя, імя па бацьку;
  • дадзеныя дакумента, які сведчыць асобу;
  • кантактныя дадзеныя;
  • займаемая пасада;
  • іншыя персанальныя даныя, якія прадстаўляюцца прадстаўнікамі (работнікамі) кліентаў і контрагентаў, неабходныя для заключэння і выканання дагавораў.

ГЛАВА 6

АСНОЎНЫЯ ПРАВА І АБАВЯЗКІ АПЕРАТАРА

6.1. Аператар мае права:

  • атрымліваць ад суб'екта персанальных даных дакладныя інфармацыю і (або) дакументы, якія змяшчаюць персанальныя даныя;
  • запытваць у суб'екта персанальных даных інфармацыю аб актуальнасці і дакладнасці прадастаўленых персанальных даных;
  • у выпадку адклікання суб'ектам персанальных даных згоды на апрацоўку персанальных даных прадоўжыць апрацоўку персанальных даных без згоды суб'екта персанальных даных пры наяўнасці падстаў, указаных у Законе;
  • у выпадку неабходнасці для дасягнення мэт апрацоўкі персанальных даных перадаваць іх трэцім асобам з выкананнем патрабаванняў заканадаўства;
  • самастойна вызначаць склад і пералік мер, неабходных і дастатковых для забеспячэння выканання абавязкаў, прадугледжаных Законам і прынятымі ў адпаведнасці з ім нарматыўнымі прававымі актамі, калі іншае не прадугледжана Законам.

6.2. Аператар абавязаны:

  • тлумачыць суб'екту персанальных звестак яго правы, звязаныя з апрацоўкай персанальных звестак;
  • атрымліваць згоду суб'екта персанальных даных на апрацоўку персанальных даных, за выключэннем выпадкаў, прадугледжаных Законам і іншымі заканадаўчымі актамі;
  • забяспечваць абарону персанальных дадзеных у працэсе іх апрацоўкі; прадастаўляць суб'екту персанальных даных інфармацыю аб яго персанальных даных, а таксама аб прадастаўленні яго персанальных даных трэцім асобам, за выключэннем выпадкаў, прадугледжаных Законам і іншымі заканадаўчымі актамі;
  • уносіць змяненні ў персанальныя даныя, якія з'яўляюцца няпоўнымі, састарэлымі або недакладнымі, за выключэннем выпадкаў, калі іншы парадак унясення змяненняў у персанальныя даныя ўстаноўлены заканадаўчымі актамі або калі мэты апрацоўкі персанальных даных не прадугледжваюць наступных змяненняў такіх даных;
  • спыняць апрацоўку персанальных даных, а таксама ажыццяўляць іх выдаленне або блакіраванне (забяспечваць спыненне апрацоўкі персанальных даных, а таксама іх выдаленне або блакіраванне ўпаўнаважанай асобай) пры адсутнасці падстаў для апрацоўкі персанальных даных, прадугледжаных Законам і іншымі заканадаўчымі актамі;
  • апавяшчаць упаўнаважаны орган па абароне правоў суб'ектаў персанальных дадзеных аб парушэннях сістэм абароны персанальных дадзеных неадкладна, але не пазней за тры працоўныя дні пасля таго, як Аператару стала вядома аб такіх парушэннях, за выключэннем выпадкаў, прадугледжаных упаўнаважаным органам па абароне правоў суб'ектаў персанальных дадзеных;
  • ажыццяўляць змяненне, блакіраванне або выдаленне недакладных або атрыманых незаконным шляхам персанальных даных суб'екта персанальных даных па патрабаванню ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных даных, калі іншы парадак унясення змяненняў у персанальныя даныя, іх блакіравання або выдалення не ўстаноўлены заканадаўчымі актамі;
  • выконваць іншыя патрабаванні ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных даных аб устараненні парушэнняў заканадаўства аб персанальных даных;
  • выконваць іншыя абавязкі, прадугледжаныя Законам і іншымі заканадаўчымі актамі.

ГЛАВА 7

АСНОЎНЫЯ ПРАВА І АБАВЯЗКІ СУБ'ЕКТА ПЕРСАНАЛЬНЫХ ДАДЗЕНЫХ

7.1. Суб'ект персанальных дадзеных мае права:

  • атрымліваць інфармацыю, якая датычыцца апрацоўкі яго персанальных даных;
  • атрымліваць ад Аператара інфармацыю аб прадастаўленні сваіх персанальных даных трэцім асобам на ўмовах, вызначаных Законам;
  • адклікаць згоду на апрацоўку персанальных даных;. выказаць умову папярэдняй згоды пры апрацоўцы персанальных даных у мэтах прасоўвання на рынку тавараў (работ, паслуг);
  • абскарджваць ва ўпаўнаважаны орган па абароне правоў суб'ектаў персанальных даных або ў судовым парадку неправамерныя дзеянні або бяздзейнасць Аператара пры апрацоўцы яго персанальных даных;
  • патрабаваць ад Аператара:
    • змены яго персанальных дадзеных у выпадку, калі персанальныя дадзеныя з'яўляюцца няпоўнымі або састарэлымі;
    • бясплатнага спынення апрацоўкі сваіх персанальных дадзеных, у тым ліку іх выдаленне, пры адсутнасці падстаў для апрацоўкі персанальных дадзеных, прадугледжаных Законам і іншымі заканадаўчымі актамі;
    • атрымаць любыя тлумачэнні па пытаннях, якія тычацца апрацоўкі яго персанальных даных, звярнуўшыся да Аператара з дапамогай электроннай пошты;
    • ажыццяўлення іншых правоў, прадугледжаных заканадаўствам Рэспублікі Беларусь.

7.2. Суб'ект персанальных дадзеных абавязаны:

  • прадастаўляць Аператару дакладныя дадзеныя аб сабе;
  • паведамляць Аператару аб удакладненні (абнаўленні, змене) сваіх персанальных дадзеных.

Асобы, якія перадалі Аператару недакладныя звесткі аб сабе, або звесткі аб іншым суб'екце персанальных даных без згоды апошняга, нясуць адказнасць у адпаведнасці з заканадаўствам Рэспублікі Беларусь.

ГЛАВА 8

АДКАЗНАСЦЬ

8.1. Асобы, вінаватыя ў парушэнні  Закона  Рэспублікі Беларусь ад 07.05.2021 № 99-З "Аб абароне персанальных даных", нясуць адказнасць, прадугледжаную заканадаўчымі актамі.

8.2. Работнікі і іншыя асобы, вінаватыя ў парушэнні гэтай Палітыкі, а таксама заканадаўства Рэспублікі Беларусь у галіне персанальных даных, могуць быць прыцягнуты да дысцыплінарнай і матэрыяльнай адказнасці ў парадку, устаноўленым Працоўным  кодэксам  Рэспублікі Беларусь, а таксама могуць быць прыцягнуты да грамадзянска-прававой, адміністрацыйнай і крымінальнай адказнасці ў парадку, устаноўленым заканадаўствам Рэспублікі Беларусь.

 ГЛАВА 9

ЗАКЛЮЧНЫЯ ПАЛАЖЭННІ

9.1. Аператар і іншыя асобы, якія атрымалі доступ да персанальных даных, абавязаны не раскрываць трэцім асобам і не распаўсюджваць персанальныя даныя без згоды суб'екта персанальных даных, калі іншае не прадугледжана Законам.        

9.2. Бяспека персанальных даных, якія апрацоўваюцца Аператарам, забяспечваецца пры дапамозе рэалізацыі прававых, арганізацыйных і тэхнічных мер, неабходных для выканання ў поўным аб'ёме патрабаванняў заканадаўства ў галіне абароны персанальных даных.

9.3. Сапраўдная Палітыка набывае моц з дня яе зацвярджэння. 

9.4. Пытанні, якія датычацца апрацоўкі персанальных даных, не замацаваныя ў гэтай Палітыцы, рэгулююцца заканадаўствам.