ПОЛИТИКА СОГЛАСИЯ

Политика в отношении обработки персональных данных пациентов в ООО «ЛЮБИМЫЙ ДОКТОР»

ГЛАВА 1.  ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика обработки персональных данных пациентов (далее – Политика) в ООО «ЛЮБИМЫЙ ДОКТОР» разработана во исполнение требованийабз. 3 п. 3 ст. 17 Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее – Закон о персональных данных). Политика является локальным правовым актом, регулирующим отношения, связанные с обработкой персональных данных и их защитой при обработке в ООО «ЛЮБИМЫЙ ДОКТОР» (далее – Организация).

1.2. Политика определяет основные принципы, цели, условия и способы обработки персональных данных пациентов, перечни субъектов и обрабатываемых в Организации персональных данных, функции Организации при обработке персональных данных, права субъектов персональных данных, а также реализуемые Организацией требования к защите персональных данных.

1.3.Положения Политики служат основой для разработки локальных актов, регламентирующих в Организации вопросы обработки персональных данных пациентов Организации.

1.4. Настоящая политика разработана в следующих целях:

• определения порядка обработки персональных данных субъектов персональных данных;

• обеспечения защиты персональных данных субъектов персональных данных; обеспечения защиты их прав и свобод при обработке персональных данных субъектов персональных данных;
• установление ответственности должностных лиц, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

1.5. Настоящее Политика действует в отношении всех персональных данных (далее – данные), которые Организация может получить от субъекта  персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее – Пользователь), во время использования им сайта Организации, расположенного на доменном имени www.lubimydoctor.by, либо иных сервисов, служб, программ, продуктов или услуг Организации.

1.6. Политика публикуется в свободном доступе в сети Интернет на сайте Организации www.lubimydoctor.by, а также размещается на рецепциях Организации, расположенных по адресам: г. Минск, ул. Матусевича 70, пом.184 и ул. Рафиева 55-15.

ГЛАВА 2. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ

2.1. Политика обработки персональных данных в учреждении здравоохранения определяется в соответствии со следующими нормативными правовыми актами:

• Конституция Республики Беларусь;
• Гражданский кодексРеспублики Беларусь;
• Закон Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных»;
• Закон Республики Беларусь от 10.11.2008 № 455-3 «Об информации, информатизации и защите информации»;
• Закон Республики Беларусь от 18.06.1993 № 2435-ХII «О здравоохранении»;
• Закон Республики Беларусь от 11 декабря 2020 г. № 94-З «Об изменении законов по вопросам здравоохранения и оказания психологической помощи»;
• УказПрезидента Республики Беларусь от 28.10.2021 N 422 «О мерах по совершенствованию защиты персональных данных»;
• Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 N 195 «О технической и криптографической защите персональных данных»;
• Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 N 194 «Об обучении по вопросам защиты персональных данных»;
• Постановление Министерства здравоохранения Республики Беларусь от 28.05.2021 № 64 «Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь»;
• Постановление Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента» (вместе с Инструкцией о формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных, информации, составляющей врачебную тайну, отказа от их внесения и обработки и порядке информирования о праве на отказ от внесения информации, составляющей врачебную тайну, в централизованную информационную систему здравоохранения);
• иные нормативно и правовые акты Республики Беларусь, и нормативные документы, уполномоченных органов государственной власти.

2.2. В целях реализации положений Политики в Организации разрабатываются соответствующие локальные акты и иные документы.

2.3. Правовым основанием обработки персональных данных также являются:

• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных.

ГЛАВА 3. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ АКТАХ ОРГАНИЗАЦИИ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор – ООО «ЛЮБИМЫЙ ДОКТОР», расположенное по адресу: 220091, г. Минск, ул. Матусевича 70, пом.184, также оказывающее медицинские услуги по адресу: г. Минск ул. Рафиева 55-15 (лицензия Министерства здравоохранения Республики Беларусь № М-8205 от 28.02.2018).

3.2. Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

3.3. Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации.

3.4. Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.

3.5. Специальные персональные данные – персональные данные, касающиеся здоровья или половой жизни, биометрические и генетические персональные данные.

3.6. Информация – сведения (сообщения, данные) независимо от формы их представления.

3.7. Физическое лицо, которое может быть идентифицировано – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер (через один или несколько признаков).

3.8. Пациент – физическое лицо, обратившееся за медицинской помощью, находящееся под медицинским наблюдением либо получающее медицинскую помощь.

3.9. Субъект персональных данных или субъект – физическое лицо, в отношении которого осуществляется обработка персональных данных.

3.10. Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, изменение, использование, передачу (распространение, передачу, доступ) обезличивание, блокирование, удаление, уничтожение.

3.11. Обработка персональных данных с использованием средств автоматизации – обработка персональных данных с помощью средств вычислительной техники.

3.12. Обработка персональных данных без использования средств автоматизации – действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

3.13. Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

3.14. Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.

3.15. Блокирование персональных данных – прекращение доступа к персональным данным без их удаления.

3.16. Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

3.17. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.18. Медицинская информационная система – структурированная совокупность электронных медицинских документов, записей о состоянии здоровья пациента, фактах его обращения за медицинской помощью и иной информации о пациенте в медицинской информационной системе Aibolit (далее – МИС).

3.19. Сайт медицинского центра – корпоративный сайт ООО «ЛЮБИМЫЙ ДОКТОР», расположенный в сети Интернет по адресу: www.lubimydoctor.by.

3.20. Прочие интернет-ресурсы – социальные сети Организации (Instagram, Facebook, VK, Tik-tok),  103.by(telemed), мобильные приложения (Айболит и др.), справочно-информационные порталы, не принадлежащие Организации).

3.21. Мессенджеры  – Viber, Telegram  и пр.

3.22. Cookies (куки – файлы) – небольшой фрагмент данных, отправляемых веб-сервером и хранимый на компьютере пользователя, который веб – клиент или веб – браузер каждый раз пересылает в HTPP – запросе при попытке открыть страницу соответствующего сайта.

3.23. IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

3.24. Информационная система персональных данных – совокупность программного обеспечения, содержащего персональные данные и обеспечивающего их обработку.

ГЛАВА 4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Организация, являясь Оператором персональных данных, осуществляет обработку персональных данных пациентов.

4.2. Обработка персональных данных в Организации осуществляется с учетом необходимости обеспечения защиты прав и свобод пациентов, а также других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

4.2.1. обработка персональных данных осуществляется на законной и справедливой основе;

4.2.2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц; обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

4.2.3. обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

4.2.4. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;

4.2.5. обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных.

4.3. Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.

4.4. Персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

4.5. Персональные данные обрабатываются в целях:

4.5.1. осуществления прав и законных интересов Организации в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Организации, подготовки, заключения, исполнения и прекращения договоров с контрагентами;

4.5.2. для обработки и получения платежей, оспаривания или подтверждения факта получения платежа;

4.5.3. ведение переговоров, заключения, изменения, исполнения и расторжения гражданско-правовых договоров с контрагентами (юридическими и физическими лицами);

4.5.4. подготовка претензий, исковых заявлений, а также использования иных способов защиты нарушенных прав Организации;

4.5.5. для целей оформления и исполнения договорных обязательств по оказанию медицинских услуг: в целях установления медицинского диагноза, оказания медицинских услуг, ведения медицинского учёта;

4.5.6. оформление медицинской документации на бумажном носителе;

4.5.7. создания и внесения данных субъекта в МИС Организации в виде учётной записи, с последующим внесением в расписание для заказа услуг и получения информации о них, создания и хранения первичной медицинской документации;

4.5.8. для целей предоставления Организацией дополнительных сервисов субъектам персональных данных, упрощения порядка взаимодействия между Организацией и субъектами персональных данных;

4.5.9. для исполнения требований правил оказания платных медицинских услуг и проверки качества оказания услуг;

4.5.10. для повышения качества обслуживания клиентов, проведения телефонного опроса на предмет удовлетворенности качеством оказанных услуг;

4.5.11. информационное обслуживание, включая рассылку с согласия пациента обновлений услуг, специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени Организации;

4.5.12. установления с пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта и социальных сетей Организации, оказания услуг, обработка запросов и заявок;

4.5.13. для подготовки ответов на обращения граждан в соответствии с действующим законодательством;

4.5.14. выполнение функций, полномочий и обязанностей, возложенных на Оператора действующим законодательством.

ГЛАВА 5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Организация обрабатывает персональные данные следующих категорий субъектов:

5.1.1. контрагентов – физических лиц;

5.1.2. пациентов (в том числе лиц, указанных в части второй статьи 18 Закона о здравоохранении);

5.1.3. иных субъектов, взаимодействие которых с Оператором создает необходимость обработки персональных данных.

ГЛАВА 6. СОДЕРЖАНИЕ И ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.     Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Организации реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.

6.2. Персональные данные контрагентов – физических лиц включают:

• фамилию, имя, отчество;
• идентификационный номер;
• сведения о регистрации по месту жительства (включая адрес, дату регистрации);
• контактные данные (включая номера домашнего и (или) мобильного телефона, адрес электронной почты и др.);
• личная подпись;
• иные данные, необходимые для исполнения взаимных прав и обязанностей между Организацией и контрагентом.

6.3. Персональные данные пациентов включают:

• фамилию, имя, отчество; гражданство;
• дату рождения;
• идентификационный номер;
• номер страхового полиса (для пациентов, обсуживающихся по договорам добровольного страхования медицинских расходов);
• сведения о регистрации (для пациентов, обсуживающихся по длительным договорам с Организацией);
• сведения о месте фактического проживания (для пациентов, получающих медицинские услуги на дому);
• контактные данные (включая номера телефона, электронной почты и др.);
• биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
• медицинские данные: семейный анамнез, анамнез жизни, аллергологический анамнез, лекарственная непереносимость, реакция на ИЛС, траисфузиологичсский анамнез, акушерско-гинекологический анамнез (для женщин), метрические данные, профилактические прививки, заключительные (уточненные) диагнозы, лабораторные исследования, лучевые и радиологические исследования, функциональные исследования, оперативные вмешательства, скорая медицинская помощь, немедикаментозное лечение, физиотерапевтическое лечение, ЛФК и массаж, нетрадиционные методы лечения, лучевая терапия, диспансеризация, временная нетрудоспособность, инвалидность;
• информация, составляющая врачебную тайну (факт обращения за медицинской помощью, состояние здоровья, сведения о наличии заболеваний, диагноз, методы оказания медицинской помощи, риски, связанные с медицинским вмешательством, альтернативы предполагаемому медицинскому вмешательству;
• личная подпись;
• иные данные, необходимые для медицинского обслуживания пациентов, регистрации и рассмотрения их обращений.

6.4. Организация не осуществляет обработку иных персональных данных, которые не отвечают целям такой обработки, а также законным правам и интереса субъекта персональных данных.

ГЛАВА 7. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ

7.1.       Персональные данные в Организации обрабатываются с согласия субъекта персональных данных на обработку его персональных данных (либо с согласия законного представителя субъекта), если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.

7.2.  В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных даёт законный представитель субъекта персональных данных.

7.3. При сборе персональных данных могут быть задействованы различные способы, в том числе через посещение сайта Организации, и заполнение формы заявки на оказание услуг, заключают гражданско–правового договора, включая договор публичной оферты на оказание медицинских услуг, а также при непосредственном личном обращении субъекта персональных данных в Организацию за оказанием ему платных медицинских услуг.

7.4. Пользователи сайта могут посещать его анонимно. При этом при каждом посещении веб – сайта в анонимной форме сохраняется вся информация об обращении к сайту: дата, время, просмотренные страницы, запрошенные данные, IP адреса запрашивающих компьютеров, cookies.

7.5. При записи пациента посредством телефонного обращения (мессенджера), Организация вправе оставить у себя информацию о звонке, в том числе фамилия, имя, отчество пациента, номер телефона, причину обращения (включая запись разговора).

7.6. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

7.7. До получения согласия субъекта персональных данных Оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставляет субъекту персональных данных информацию, содержащую:

• наименование и место нахождения Оператора;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• срок, на который дается согласие субъекта персональных данных;
• информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых Оператором способов обработки персональных данных;
• иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.

Кроме того, до получения согласия субъекта персональных данных Оператор простым и ясным языком разъясняет субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эту информацию Оператор предоставляет субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия.

Пользователям сайта вся вышеуказанная информация предоставляется в электронном виде.

7.8. Согласие (отказ) пациентов Оператора, а также лиц, указанных в ч. 2 ст. 18 Закона о здравоохранении (законных представителей пациента, опекунов пациентов и т.д.), на внесение и обработку персональных данных при формировании электронной медицинской карты пациента оформляется по форме, утверждённой приказом директора Организации.

7.9. Согласие пользователей сайта на обработку их персональных данных оформляется в электронной форме путем проставления соответствующей отметки («галочки») напротив текста о предоставлении согласия следующего содержания: «Я (Ф.И.О., дата рождения, контактный номер телефона), даю свое согласие на обработку моих персональных данных».

7.10.     Организация без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.

7.11.     Организация вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.

7.12.     Договор с уполномоченным лицом должен содержать:

7.12.1.  цели обработки персональных данных;

7.12.2.  перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

7.12.3.  обязанности по соблюдению конфиденциальности персональных данных;

7.12.4.  меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных».

7.13.     Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

7.14.     Доступ к обрабатываемым в Организации персональным данным разрешается только работникам Организации, занимающим должности, включенные в перечень должностей, имеющих доступ к персональным данным.

7.15. Источником получения персональных данных является непосредственно субъект персональных данных, а также лица, предоставившие персональные данные субъекта, в соответствии с действующем законодательством.

7.16. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.

7.17. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по требованию субъекта персональных данных, достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

ГЛАВА 8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.       Субъект персональных данных вправе:

8.1.1.    в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, установленном статьей 14 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных», либо в форме, посредством которой получено его согласие;

8.1.2.    на получение информации, касающейся обработки своих персональных данных, содержащей:

• наименование (фамилию, собственное имя, отчество (если таковое имеется) и место нахождения (адрес места жительства (места пребывания) оператора;
• подтверждение факта обработки персональных данных Оператором (уполномоченным лицом); его персональные данные и источник их получения;
• правовые основания и цели обработки персональных данных;
• срок, на который дано его согласие;
• иную информацию, предусмотренную законодательством;

8.1.3.    требовать от Оператора внесения изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает оператору заявление в порядке, установленном статьи 14 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных», с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные;

8.1.4.    требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и иными законодательными актами. Для реализации указанного права субъект персональных данных подает Оператору заявление в порядке, установленном Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных»;

8.1.5.    обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченном органе по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

8.2.       Реализация прав субъекта персональных данных, изложенных в п.п.8.1.1, 8.1.2 и 8.1.4 осуществляется на основании заявления, которое должно быть направлено в письменной форме и содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания); дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных;
• в случаях, если заявление оформляется законным представителем – фамилию, собственное имя, отчество законного представителя, его идентификационный номер, документ, подтверждающий его полномочия;
• изложение сути требований субъекта персональных данных;
• подпись субъекта персональных данных (его законного представителя);

8.3.       Если в заявлении субъекта персональных данных не отражены все необходимые сведения (п. 9.2. Политики) или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

8.4. Субъекту персональных данных может быть отказано в предоставлении информации в соответствии с п. 3 ст. 11 Закона о персональных данных. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.

8.5.       Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.

8.6.       Субъект персональных данных обязан:

8.6.1.    представлять Организации достоверные персональные данные;

8.6.2.    своевременно сообщать Организации об изменениях и дополнениях своих персональных данных;

8.6.3.    осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными актами Организации в области обработки и защиты персональных данных;

8.6.4.    исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными актами Организации в области обработки и защиты персональных данных.

ГЛАВА 9. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

9.1.       Оператор вправе:

9.1.1.    устанавливать правила обработки персональных данных в Организации;

9.1.2.    вносить изменения и дополнения в Политику;

9.1.3.    самостоятельно, в рамках требований законодательства, разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;

9.1.4. осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными актами Организации в области обработки и защиты персональных данных.

9.2.       Оператор обязан:

9.2.1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

9.2.2. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

9.2.3.    получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и иными законодательными актами;

9.2.4.    обеспечивать защиту персональных данных в процессе их обработки;

9.2.5. в течение пяти рабочих дней после получения заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, касающуюся обработки его персональных данных, либо уведомить о причинах отказа в ее предоставлении;

9.2.6. в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставить ему информацию о предоставлении его персональных данных третьим лицам в течение года, предшествовавшего дате подачи заявления, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении;

9.2.7.    вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

9.2.8. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и иными законодательными актами;

9.2.9.    уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

9.2.10. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

9.2.11. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

9.2.12.  исполнять иные обязанности, предусмотренные Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и иными законодательными актами.

ГЛАВА 10. КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА   В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1.     Контроль за соблюдением в Организации законодательства Республики Беларусь и локальных актов в области персональных данных  осуществляется с целью проверки соответствия обработки персональных данных в Организации законодательству Республики Беларусь и локальным актам, в том числе требованиям к защите персональных данных, а также принятии мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

10.2.     Внутренний контроль за соблюдением в Организации законодательства Республики Беларусь и локальных актов Организации в области персональных данных, в том числе требований к защите персональных данных, осуществляется ответственным лицом, назначенным приказом директора Организации.

ГЛАВА 11. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Организация обеспечивает защиту персональных данных при их обработке в соответствии с законодательством и локальными правовыми актами на основании принимаемых ими правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

11.2. Защита персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.

11.3. Организация защищает персональные данные в целях:

11.3.1. предотвращения утечки, хищения, утраты, искажения, подделки и иных неправомерных действий с персональными данными;

11.3.2. защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;

11.3.3. обеспечения прав субъектов в области персональных данных.

11.4. Организация для защиты персональных данных:

11.4.1. обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Республики Беларусь с использованием баз данных, находящихся на территории Республики Беларусь, за исключением случаев, предусмотренных законодательством;

11.4.2. разрабатывает и утверждает локальные правовые нормы о защите персональных данных;

11.4.3. определяет и закрепляет перечень персональных данных;

11.4.4. ограничивает доступ к информации, составляющей персональные данные, закрепляет порядок обращения с этой информацией, особые условия хранения материальных носителей и информации в электронном виде;

11.4.5. ведет учет лиц, получивших доступ к персональным данным или лиц, которым предоставлена или передана такая информация;

11.4.6. заключает с лицами, получившими доступ к персональным данным, обязательства о соблюдении порядка обработки персональных данных. Включает условия о правах, обязанности и ответственности в области обработки и защиты персональных данных в трудовые и гражданско-правовые договоры, заключенные с этими лицами;

11.4.7. обучает работников, получивших доступ к персональным данным, правилам обработки и методам защиты персональных данных с учетом Указа Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных». Периодически проверяет знания норм и требований в области защиты персональных данных;

11.5. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого незаконного использования.

11.6. Допуск к конфиденциальным персональным данным включает:

11.6.1. ознакомление работника с законодательством о защите персональных данных, об ответственности за его нарушение, локальными правовыми актами Организации в области обработки и защиты персональных данных;

11.6.2. принятие работником обязанности соблюдать режим конфиденциальности персональных данных, к которым он получает доступ. Оформление обязательства о соблюдении порядка обработки персональных данных.

11.6.3. принятие работником обязанностей по неразглашению сведений конфиденциального характера после прекращения трудовых отношений;

11.6.4. обучение методам и формам защиты конфиденциальной информации, принятым в Организации;

11.6.5. обязательство не использовать сведения конфиденциального характера в деятельности, не связанной с деятельностью Организации.

11.7. С лицами, получающими доступ к персональным данным и осуществляющими обработку персональных данных, заключаются трудовые договоры (контракты) или дополнительные соглашения к трудовым договорам (контрактам) с условием об обеспечении конфиденциальности персональных данных (обязательство по соблюдению установленного порядка обработки персональных данных).

11.8. При работе с документами, содержащими персональные данные, запрещается:

• знакомить с ними неуполномоченных лиц;
• использовать информацию из этих документов в открытых сообщениях, докладах, переписке, рекламе;
• предоставлять свой компьютер для работы другим работникам;
• оставлять документы на рабочем месте;
• не выключать компьютер.

11.9. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными Оперативно-аналитическим центром при Президенте Республики Беларусь и Национальным центром по защите персональных данных Республики Беларусь, а также в соответствии с локальными правовыми актами Организации в области обеспечения информационной безопасности.

11.10. При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе Организации.

11.11. При достижении целей обработки Организация уничтожает персональные данные. Исключения: персональные данные должны храниться длительное время в силу требований нормативных правовых актов.

ГЛАВА 12. ОТВЕТСТВЕННОСТЬ

12.1.     Лица, виновные в нарушении Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных»» несут ответственность, предусмотренную законодательными актами.

12.2.     Работники и иные лица, виновные в нарушении настоящей Политики, а также законодательства Республики Беларусь в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Республики Беларусь, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Республики Беларусь.

12.3.     Гражданско-правовая ответственность:

• субъект персональных данных может требовать возмещения имущественного вреда и понесенных убытков, а также морального вреда, причиненного нарушением его прав (п. 2 ст. 19 Закона о защите персональных данных; п. В, 10 ст. 11 ГК).

12.4.     Дисциплинарная ответственность:

• трудовой договор с работником можно прекратить в связи с нарушением им порядка обработки персональных данных. Увольнение как мера дисциплинарного взыскания по данному основанию возможно, если работник допустил нарушение:
• при сборе персональных данных; их систематизации; хранении; изменении; использовании; обезличивании; блокировании; распространении; предоставлении; удалении (п. 10 ч. 1 ст. 47, п. 4 ч. 1 ст. 198 ТК).