Политика обработки персональных данных

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика в области обработки и защиты персональных данных (далее – Политика) Республиканского унитарного предприятия электросвязи «Белтелеком» (далее – Оператор, РУП «Белтелеком») разработана на основании требований Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее – Закон) и иных актов законодательства, регламентирующих порядок обработки персональных данных (указанных в главе 2 Политики).
2. Юридический адрес Оператора: г. Минск, ул.Энгельса, дом № 6, адрес в сети Интернет:https://beltelecom.by.
3. Адреса официальных (корпоративных) сайтов Оператора изложены в Приложении 1 к Политике.
4. Информация об Операторе, его филиалах и производствах размещена по адресу в сети Интернет: https://beltelecom.by/about.
5. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор с использованием средств автоматизации и без использования средств автоматизации.
6. В Политике применяются термины и определения, в соответствии с терминами и определениям указанными в Законе.
7. Требования Политики служат основой для разработки Положений (инструкций), регламентирующих обработку Оператором персональных данных с использованием средств автоматизации (в конкретных информационных системах и информационных ресурсах), а также без использования средств автоматизации, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
8. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь. Если международным договором Республики Беларусь установлены иные правила, чем те, которые предусмотрены Законом, то Оператор применяет правила международного договора.

ГЛАВА 2

ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9. Оператор обрабатывает персональные данные субъектов персональных данных в рамках требований, следующих нормативных правовых актов:

• Конституция Республики Беларусь;
• Гражданский кодекс Республики Беларусь;
• Трудовой кодекс Республики Беларусь;
• Налоговый кодекс Республики Беларусь;
• Жилищный кодекс Республики Беларусь;
• Кодекс Республики Беларусь об административных правонарушениях;
• Кодекс Республики Беларусь о культуре;
• Кодекс Республики Беларусь об образовании;
• Указ Президента Республики Беларусь от 03.06.2008 № 294 «О документировании населения Республики Беларусь»;
• Указ Президента Республики Беларусь от 01.02.2010 № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет»;
• Указ Президента Республики Беларусь от 26.04.2010 № 200 «Об административных процедурах, осуществляемых государственными органами и иными организациями по заявлениям граждан»;
• Указ Президента Республики Беларусь от 06.01.2012 № 13 «О некоторых вопросах предоставления гражданам государственной поддержки при строительстве (реконструкции) или приобретении жилых помещений»;
• Указ Президента Республики Беларусь от 15.03.2016 № 98 «О совершенствовании порядка передачи сообщений электросвязи»;
• Закон Республики Беларусь от 05.11.1992 № 1914-XII «О воинской обязанности и воинской службе»;
• Закон Республики Беларусь от 19.07.2005 № 45-З «Об электросвязи»;
• Закон Республики Беларусь от 08.11.2006 № 175-З «Об охранной деятельности в Республике Беларусь»;
• Закон Республики Беларусь от 28.10.2008 № 433-З «Об основах административных процедур»;
• Закон Республики Беларусь от 17.07.2008 № 427-З «О средствах массовой информации»;
• Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
• Закон Республики Беларусь от 19.07.2010 № 170-З «О государственных секретах»;
• Закон Республики Беларусь от 18.07.2011 № 300-З «Об обращениях граждан и юридических лиц»;
• Постановление Совета Министров Республики Беларусь от 18.12.2003 № 1662 «Об утверждении Положения о воинском учете»;
• Постановление Совета Министров Республики Беларусь от 17.08.2006 № 1055 «Об утверждении Правил оказания услуг электросвязи»;
• Постановление Совета Министров Республики Беларусь от 29.04.2010 № 645 «О порядке функционирования интернет-сайтов государственных органов и организаций»;
• Постановление Совета Министров Республики Беларусь от 25.01.2019 № 53 «О допуске граждан к государственным секретам» (вместе с «Положением о порядке предоставления гражданам Республики Беларусь допуска к государственным секретам»);
• Постановление Министерства юстиции Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь»;
• Постановление Министерства жилищно-коммунального хозяйства Республики Беларусь от 25.11.2019 № 23 «Об установлении форм документов»;
• Постановление Министерства обороны Республики Беларусь от 27.01.2020 № 5 «Об установлении форм документов воинского учета»;
• Постановление Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26.03.2004 № 2 «Об утверждении Инструкции о порядке формирования, ведения и хранения личных дел работников».

10. Правовым основанием обработки персональных данных Оператором также являются локальные акты, документы и обращения следующего характера:

• устав Оператора;
• договоры, заключаемые с субъектом персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных;
• заявления субъектов персональных данных, направленные Оператору.

ГЛАВА 3

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11. Оператор обрабатывает персональные данные в целях:

• осуществления финансово-хозяйственной деятельности в соответствии с уставом Оператора;
• осуществления мониторинга финансово-хозяйственной деятельности и проведения внутренних служебных проверок;
• предоставления официальной информации о деятельности Оператора;
• оказания услуг, предоставляемых Оператором, в соответствии с заключенными договорами;
• реализации товаров, предоставляемых Оператором, в соответствии с заключенными договорами;
• осуществления гарантийных обязательств по договорам на реализацию Оператором товаров;
• улучшения качества обслуживания субъектов персональных данных при консультировании и оказании услуг Оператором или уполномоченным лицом;
• качественного оказания консультаций по услугам Оператором, в том числе при заключении договоров на услуги Оператора;
• консультации по услугам реализации товаров, осуществляемых через Оператора;
• распространения, хранения информации посредством демонстрации аудиовизуального контента через средства массовой информации и интернет–ресурсы;
• регистрации абонентов в информационной системе, предназначенной для контроля состояния лицевого счета, платежей и управления услугами (кабинет пользователя);
• обеспечения удобства пользователей и повышение качества функционирования Интернет–сайтов Оператора (использования файлов куки);
• предотвращения нарушений порядка предоставления трафика на сетях электросвязи;
• подготовки, заключения, исполнения, изменения и расторжения договоров (контрактов, соглашений) с юридическими лицами и индивидуальными предпринимателями;
• ведения кадрового делопроизводства;
• ведения воинского учета;
• отбора кандидатов на рабочие места;
• назначения и выплаты пособий;
• предоставления социальных льгот и гарантий;
• организации ведения персонифицированного учета;
• выполнения условий коллективного договора;
• добровольного страхования медицинских расходов;
• заполнения и предоставления в уполномоченные органы и организации требуемых форм отчетности, в том числе статистической;
• организации членства работников в профсоюзной организации;
• обеспечения режимно–пропускной системы (внутриобьектового режима);
• организации связи (взаимодействия) с субъектом персональных данных;
• формирования телефонных справочников для внутреннего обеспечения деятельности предприятия;
• формирования механизмов сохранения договорных отношений с абонентами после завершения срока действия скидок по проводимым акциям, связанным с продажей услуг связи;
• формирования механизмов сохранения договорных отношений с абонентами после завершения срока действия скидок по проводимым акциям, связанным с продажей товаров длительного пользования;
• организации прохождения учебной, производственной практики;
• ведения учета нуждающихся в улучшении жилищных условий;
• ведение учета фактически отработанного времени;
• размещения расчётного листка в интернет-банке через ОАО «АСБ Беларусбанк»;
• оплаты труда и мотивации персонала;
• ведения бухгалтерского учёта застрахованных;
• оформления служебных командировок;
• оказания Оператором услуг, связанных с предоставлением информации справочно-информационного характера;
• осуществления проверки Оператором платёжеспособности субъекта персональных данных и дальнейшего принятия решения о возможности или невозможности заключения договора на реализацию товара в рассрочку;
• информирования субъекта персональных данных Оператором (уполномоченным лицом) о проводимых акциях и/или рекламных мероприятиях в связи с появлением новых тарифных планов услуг, внедрением новых услуг;
• информирования субъекта персональных данных Оператором (уполномоченным лицом) о проводимых акциях и/или рекламных мероприятиях в связи с появлением новых предложений приобретения товаров на условиях рассрочки;
• информирования субъекта персональных данных Оператором (уполномоченным лицом) о проводимых партнерами Оператора (третьими лицами, с которыми у Оператора заключены соответствующие договоры) акциях и/или рекламных мероприятиях;
• проведения Оператором (уполномоченным лицом) опросов, исследований потребительских предпочтений;
• оказания Оператором услуги третьим лицам по доступу к информации о субъектах персональных данных Оператора (базам данных);
• осуществления административных процедур;
• рассмотрения обращений, в том числе внесённых в книгу замечаний и предложений;
• осуществления служебных проверок;
• регистрации и предоставления доступа к мобильному приложению «Мой Белтелеком» и кабинету пользователя, расположенного на официальном Интернет–сайте Оператора;
• демонстрации в центре информационно-коммуникационных технологий достижений в области информатизации и перспектив внедрения информационно-коммуникационных технологий в обществе;
• проведения работ по изучению и популяризации истории развития средств связи, архивных, библиотечных, других материалов, касающихся истории связи и людей, связанных с важнейшими явлениями и событиями в жизни отрасли;
• проведения среди работников Оператора и членов их семей спортивных, туристических и популяризирующих здоровый образ жизни мероприятий;
• составления протоколов об административных правонарушениях и подготовки дел об административных правонарушениях.

ГЛАВА 4

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ

12. Оператор осуществляет обработку персональных данных следующих категорий субъектов:

12. 1. Работники и уволенные работники Оператора:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• паспортные данные или данные иного документа, удостоверяющего личность;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• учетный номер плательщика;
• номер и серию страхового свидетельства государственного социального страхования;
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение;
• сведения о составе семьи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• сведения о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения о социальных льготах и гарантиях;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы;
• сведения медицинского характера (в случаях, предусмотренных законодательством);
• специальные персональные данные;
• цифровой фотопортрет;
• фотопортрет на бумажном носителе;
• видеоизображение при посещении объектов Оператора;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.

12. 2. Члены семей работников Оператора:

• фамилия, имя, отчество;
• степень родства;
• дата и место рождения;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.

12. 3. Абоненты (клиенты) Оператора, их представители (в том числе представители юридических лиц и индивидуальных предпринимателей):

• фамилия, имя, отчество;
• пол;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства, адрес предоставления услуги;
• контактные данные;
• учетный номер плательщика;
• номер расчетного счета;
• данные документов, подтверждающих право на льготы или подключение отдельных тарифных планов;
• видеоизображение при посещении объектов Оператора;
• запись голоса при обращении на телефонный номер центра обслуживания клиентов, при оказании услуг в сервисном центре, пункте и при обзвонах абонентов Оператором или уполномоченным лицом;
• логин, пароль используемые при настройках оконечного оборудования;
• аккаунт, номер мобильного телефона при оказании сервисов через кабинет пользователя и мобильное приложение «Мой Белтелеком»;
• иные персональные данные, предоставляемые абонентами (а также клиентами), их представителями, необходимые для заключения и исполнения договоров.

12. 4. Представители контрагентов Оператора:

• фамилия, имя, отчество;
• паспортные данные;
• контактные данные;
• занимаемая должность;
• видеоизображение при посещении объектов Оператора;
• иные персональные данные, предоставляемые представителями контрагентов, необходимые для заключения и исполнения договора.

12. 5. Кандидаты на работу к Оператору:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата рождения;
• населенный пункт проживания;
• контактные данные;
• данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
• сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
• сведения о воинском учете;
• сведения об инвалидности;
• сведения медицинского характера (в случаях, предусмотренных законодательством);
• сведения о социальных льготах и гарантиях;
• сведения о награждениях и поощрениях;
• видеоизображение при посещении объектов Оператора;
• иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

12. 6. Обучающиеся в учебных заведениях, проходящие учебную/производственную практику у Оператора:

• фамилия, имя, отчество;
• наименование учебного заведения;
• специальность;
• специализация;
• номер курса;
• контактные данные;
• видеоизображение при посещении объектов Оператора.

12. 7. Лица, обратившиеся на личный прием, в том числе на «горячую линию» Оператора:

• фамилия, имя, отчество;
• дата рождения;
• адрес регистрации по месту жительства;
• контактные данные;
• запись голоса;
• видеоизображение при посещении объектов Оператора.

12. 8. Посетители административных, технологических и производственных объектов, сервисных центров и пунктов Оператора:

• фамилия, имя, отчество;
• наименование государственного органа, организации;
• гражданство (для иностранных граждан и лиц без гражданства);
• должность, рабочая профессия (для работников контрагентов);
• видеоизображение при посещении объектов Оператора.

12. 9. Пользователи просматривающие Интернет-сайты с помощью браузера компьютера или мобильного устройства (текстовый(ые) файл(ы), сохраняемый(ые) браузером в файловой системе и(или) оперативной памяти компьютера (мобильного устройства) пользователя при информационном обмене с Интернет-сайтом):

• куки сессионные;
• куки эксплуатационные;
• куки функциональные;
• куки сторонние.

12. 10. Правонарушители административного законодательства:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• паспортные данные или данные иного документа, удостоверяющего личность;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные.

13. Обработка Оператором специальных персональных данных осуществляется в соответствии с законодательством Республики Беларусь.
14. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (кроме требований, предусмотренных п.12.1 и 12.5 Положения), интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.

ГЛАВА 5

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

15. Субъекты персональных данных, если иное не предусмотрено законодательством, имеют право:

15.1. принимать решение о предоставлении своих персональных данных Оператору;

15.2. вносить, дополнять или изменять обрабатываемые персональные данные (на основании предоставленных Оператору соответствующих документов и (или) их заверенные в установленном порядке копии);

15.3. требовать прекращения обработки его персональных данных и (или) их удаления;

15.4. отзывать согласие на обработку своих персональных данных;

15.5. получать информацию, касающуюся фактов подтверждения обработки его персональных данных Оператором/уполномоченным лицом;

15.6. получать информацию, об источниках получения персональных данных Оператором;

15.7. получать информацию о предоставлении Оператором его персональных данных третьим лицам (информация предоставляется один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами);

15.8. обжаловать действия, бездействия и решения Оператора, связанные с обработкой персональных данных в течении 3 месяцев со дня, когда субъекту персональных данных стало известно о нарушении его прав;

15.9. получать информацию об Операторе и месте его расположения;

15.10. получать информацию об уполномоченных лицах, обрабатывающих персональные данные, и местах их расположения;

15.11. получать информацию о правовых основаниях обработки Оператором персональных данных и сроках их хранения;

15.12. получать информацию о сроках, на которые дано согласие на обработку персональных данных (при условии, что такая обработка осуществляется на основании согласия).

16. Заявления о согласии абонентов на обработку персональных данных оформляются на бумажном носителе в сервисных центрах и пунктах Оператора (далее – СЦ), либо через сайт Оператора в электронном виде.
17. Информацию по расположению (адресам) СЦ на территории Республики Беларусь можно узнать по телефону Оператора 123, а также на сайте Оператора в разделе «Сервисные центры и пункты» по ссылке https://www.beltelecom.by/feedback/services-point.
18. Субъект персональных данных для реализации прав, предусмотренных пунктом 15 Политики, подает Оператору заявление в письменной форме на бумажном носителе) или в виде электронного документа, в том числе по средствам Государственной единой (интегрированной) республиканской информационной системы учета и обработки обращений граждан и юридических лиц (официальный сайт – https://обращения.бел).

18. 1. Заявление субъекта персональных данных в целях реализации прав, изложенных в пунктах 15.2 – 15.4 Политики, должно содержать:

• фамилию, имя, отчество (при наличии);
• дату рождения;
• адрес места жительства (места регистрации);
• идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований;
• личную подпись (на бумажном носителе) либо электронную цифровую подпись (для электронного документа).
• Абоненты (клиенты) Оператора, их представители (в том числе представители юридических лиц и индивидуальных предпринимателей) осуществляют подачу заявления в письменном виде (на бумажном носителе) через сервисный центр.

18. 2. Заявления субъекта персональных данных в целях реализации прав, изложенных в пунктах 15.5 – 15.12 Политики, должно содержать:

• фамилию, имя, отчество (при наличии);
• адрес места жительства (места регистрации);
• почтовый индекс;
• информацию для контакта (номер телефона, адрес электронной почты);
• изложение сути требований;
• личную подпись (на бумажном носителе) либо электронную цифровую подпись (для электронного документа).

19. Если цели обработки персональных данных не требуют обработки информации, указанной в пункте 18 Политики, эта информация не подлежит обработке Оператором при получении согласия субъекта персональных данных.
20. Субъекту персональных данных Оператором не предоставляется информация, определенная требованиями пункта 3 статьи 11 Закона.
21. Субъектом персональных данных право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании гражданско–правового договора, трудового договора, информации направленной Оператору самим субъектом персональных данных в целях осуществления административных процедур и т.д.
22. О нарушении работниками Оператора или уполномоченными лицами Оператора, перечисленных в данной главе прав, субъект персональных данных может проинформировать Оператора посредством электронной почты, направив информацию на электронный адрес – cpd@main.beltelecom.by.
23. В целях восстановления нарушенных прав, перечисленных в пункте 15 Политики, субъект персональных данных обращается в адрес Оператора с заявлением в соответствии с требованиями пункта 18.2 Политики, а в случае не реагирования на нарушение, обращается для защиты в Национальный центр защиты персональных данных Республики Беларусь (адрес в сети Интернет: https://cpd.by).

ГЛАВА 6

ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

24. В соответствии с требованиями законодательства Республики Беларусь Оператор обязуется:

• ознакомить субъекта персональных данных с Политикой путем размещения в открытом доступе на официальном сайте Оператора;
• разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
• по требованию субъекта персональных данных изменить, блокировать или удалить обрабатываемые персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, за исключением случаев, когда иной порядок установлен законодательством Республики Беларусь;
• предоставить один раз год на безвозмездной основе субъекту персональных данных по его заявлению информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
• дать ответ на заявление субъекта персональных данных в течение 15 дней, предшествовавших дате подачи заявления, по отзыву согласия, внесению изменений в персональные данные, предоставлению персональных данных третьим лицам в течении предшествующего года и прекращению обработки персональных данных (их удалению);
• дать ответ на заявление субъекта персональных данных в течение 5 дней после получения заявления о предоставлении информации, касающейся обработки его персональных данных, если иной срок не установлен законодательством Республики Беларусь;
• рассмотреть и давать ответы на жалобы в порядке, установленном законодательством Республики Беларусь об обращениях граждан и юридических лиц;
• получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательными актами;
• в случае достижения цели обработки персональных данных прекратить обработку персональных данных и удалить, а в случае невозможности блокировать соответствующие персональные данные, если иное не предусмотрено законодательством Республики Беларусь;
• по требованию субъекта персональных данных прекратить обработку персональных данных и удалить, а в случае невозможности блокировать персональные данные, если иное не предусмотрено в договоре между Оператором и субъектом персональных данных или в законодательстве Республики Беларусь;
• учитывать переданные третьим лицам персональные данные субъектов персональных данных;
• уведомлять Национальный центр защиты персональных данных (далее – Центр) о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как Оператору стало известно о таких нарушениях. Исключение составляют случаи, определяемые Центром;
• в случае, когда РУП «Белтелеком» является уполномоченным лицом другого оператора персональных данных, то уведомляет оператора, о нарушениях систем защиты переданных персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как оператору стало известно о таких нарушениях. Исключение составляют случаи, определяемые Центром;
• исполнять требования актов реагирования государственных органов и организаций об устранении причин и условий, способствующих нарушениям законодательства о защите персональных данных.

25. В своей деятельности Оператор обрабатывает персональные данные в соответствии с заявленными целями обработки персональных данных, правовыми основаниями и сроками их хранения, приведенных в Перечне обрабатываемых персональных данных РУП «Белтелеком» к настоящей Политике (Приложение 2).
26. Оператором осуществляется обработка файлов куки в соответствии с Политикой в отношении обработки файлов HТTP–cookies размещенной на сайте www.beltelecom.by.
27. Оператор при обработке персональных данных осуществляет действие или совокупность действий, включая: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
28. Оператор имеет право поручить обработку персональных данных третьему лицу на основании заключенных договорных отношений или в соответствии с законодательством Республики Беларусь.
29. Распространение персональных данных Оператор осуществляет только в соответствии с требованиями законодательства Республики Беларусь.
30. Оператор осуществляет разъяснения субъектам персональных данных по вопросам обработки и защиты персональных данных, обрабатываемых в информационных системах (ресурсах) и без средств автоматизации Оператора.
31. Оператор осуществляет учет информационных систем (ресурсов) обрабатывающих персональные данные субъектов персональных данных в соответствии с требованиями Приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 01.06.2022 № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных» (вступает в силу с 01.01.2024).

ГЛАВА 7

МЕРЫ ПО КОНТРОЛЮ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

32. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению их защиты от неправомерного или случайного доступа, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
    В целях организации защиты персональных данных Оператор создает постоянно действующие экспертные комиссии по защите персональных данных в головном подразделении и филиалах РУП «Белтелеком», которые осуществляют свою деятельность на основании разработанных и утвержденных положений.

33. Обеспечение защиты персональных данных достигается посредством реализации следующих мероприятий:

• определение угроз безопасности персональных данных при их обработке;
• установление режима(-ов) обработки персональных данных;
• создание документов, устанавливающих требования к обработке персональных данных и их защите;
• назначение ответственных по обеспечению контроля за организацией обработки персональных данных;
• применение технических средств защиты информации в информационных системах, задействованных для обработки персональных данных;
• применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям по защите информации;
• контроль за эффективностью принимаемых мер по обеспечению защиты персональных данных и уровнем защищенности информационных систем, обрабатывающих персональные данные.

34. За нарушение установленного законодательством Республики Беларусь порядка обработки персональных данных, их неправомерное разглашение или распространение виновные лица (работники Оператора, уполномоченные лица) несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РеспубликиБеларусь.
35. В целях обеспечения надлежащего контроля за обработкой персональных данных Оператор создал в аппарате управления головного подразделения структурное подразделение по внутреннему контролю за обработкой персональных данных.
36. Оператор осуществляет контроль за обработкой персональных данных в структурных подразделениях на плановой основе.
37. В целях повышения эффективности организации контроля за обработкой персональных данных в филиалах и производствах Оператора назначаются ответственные за осуществление внутреннего контроль за обработкой персональных данных, которые находятся во взаимодействии и оперативном подчинении структурного подразделения, указанного в п. 35 Политики в части исполнения обязанностей по осуществлению внутреннего контроля за обработкой и защитой персональных данных.
38. В филиалах и производствах Оператора назначенные ответственные за осуществление внутреннего контроль за обработкой персональных данных не осуществляют обязанности по защите информации и предоставлению доступа работников/уполномоченных лиц к информационным системам (ресурсам) Оператора с целью недопущения конфликта интересов.
39. Внутренний контроль за обработкой персональных данных осуществляется исходя из требований Положения о порядке осуществления внутреннего контроля за обработкой персональных данных Оператора, утвержденного его руководителем.

ГЛАВА 8

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

40. РУП «Белтелеком» является международным оператором связи и в своей деятельности осуществляет трансграничную передачу предоставленных субъектами персональных данных. Основанием для трансграничной передачи персональных данных является ведение предприятием внешнеэкономической деятельности и заключение соответствующих соглашений/договоров с иностранными контрагентами.
41. Оператор осуществляет трансграничную передачу персональных данных:

• Ф.И.О., года рождения, места рождения и регистрации, паспортных данных работников Оператора при направлении в служебные командировки с выездом за пределы Республики Беларусь;
• адресов электронной почты, Ф.И.О., работников Оператора, обеспечивающих взаимодействие с операторами связи иностранных государств для организации и технического сопровождения/обеспечения услуг связи;
• номеров мобильных телефонов, IP адресов необходимых для осуществления технологического обеспечения связи между операторами связи иностранных государств для организации соединения абонентов при оказании услуг связи.

42. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:

• дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
• персональные данные получены на основании договора, заключенного (заключаемого) РУП «Белтелеком» с субъектом персональных данных, в целях совершения действий, установленных данным договором;
• персональные данные могут быть получены любым лицом посредством направления запроса Оператору в случаях и порядке, предусмотренных законодательством Республики Беларусь;
• такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
• получено соответствующее разрешение от Центра на трансграничную передачу персональных данных (если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).

43. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется Центром.
44. К иностранным государствам, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, относятся иностранные государства, не подписавшие и не ратифицировавшие Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28.01.1981.

ГЛАВА 9

УПОЛНОМОЧЕННЫЕ ЛИЦА, ОСУЩЕСТВЛЯЮЩИЕ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

45. В своей деятельности Оператор привлекает уполномоченных лиц для достижения целей, указанных в главе 3 Политики. К таким лицам относятся юридические лица Республики Беларусь, иные организации, индивидуальные предприниматели, физические лица, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с Оператором осуществляют обработку персональных данных от имени Оператора или в его интересах.
46. Оператор классифицирует уполномоченных лиц на юридические и физические лица.
47. Уполномоченные лица (юридические лица, иные организации, индивидуальные предприниматели), участвующие в обработке персональных данных Оператора, осуществляют следующие действия: строительно-монтажные; рекламные; информационные; технические (поддержка оборудования и программного обеспечения).
    Уполномоченные лица (физические лица), участвующие в обработке персональных данных, осуществляют следующие действия: поиск потенциальных абонентов, передачу заявлений потенциальных абонентов на приобретение товара, обработку информации в информационных системах Оператора, требующуюся для проверки платежеспособности субъекта персональных данных при реализации ему товара.

48. Оператор осуществляет учет уполномоченных лиц в информационной системе «Реестр уполномоченных лиц, которые участвуют в обработке персональных данных сотрудников/абонентов Оператора», которая размещается в открытом доступе на сайте Оператора и является неотъемлемой частью данной Политики.
49. В договора между Оператором и уполномоченными лицами в обязательном порядке вносятся цели обработки персональных данных, обязательства по соблюдению конфиденциальности и сроки хранения персональных данных.
50. Оператор имеет право передать уполномоченному лицу часть функций по рассмотрению заявлений субъектов персональных данных (в соответствии с требованиями статьи 14 Закона) при условии отсутствия доступа к обрабатываемым персональным данным у Оператора.
51. Уполномоченное лицо может оказывать содействие Оператору в реализации прав субъектов персональных данных, рассматривая заявления, поданные согласно пункта 30 главы 6 Политики, в случае их поступления, либо подготавливать проект ответа для Оператора.
52. Уполномоченное лицо может наделяться правом выполнения требований абзацев 4 – 7, 10 – 11, 13 пункта 24 главы 6 Политики.
53. Юридическое лицо, определенное как уполномоченное лицо, обязано разработать локальные правовые акты и документы в соответствии требованиями Закона.
54. Уполномоченное лицо (юридическое лицо) осуществляет обработку персональных данных, относящихся к категориям субъектов персональных данных, изложенных в подпунктах 12.1 – 12.4 пункта 12 главы 4 Политики.
55. Уполномоченное лицо (физическое лицо) осуществляет обработку персональных данных, относящихся к категориям субъектов персональных данных, изложенных в подпунктах 12.3, 12.4 пункта 12 главы 4 Политики.

ГЛАВА 10

ТРЕБОВАНИЯ, ПРИМЕНЯЕМЫЕ К РАЗРАБОТКЕ ПОЛИТИК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

56. Оператором разрабатываются Политики информационной безопасности обработки персональных данных информационных систем (ресурсов) (далее – Политики ИБОПД) с указанием перечня осуществляемых Оператором действий с персональными данными, целями обработки, источников получения персональных данных и сроков их хранения, которые являются неотъемлемой частью данной Политики.
57. Политики ИБОПД разрабатывают подразделения аппарата управления, производств и филиалов Оператора, непосредственно участвующих в сборе и обработке персональных данных.
58. При осуществлении обработки персональных данных уполномоченными лицами (юридическими лицами) по поручению Оператора в Политиках указывается следующая информация:

• наименование и местонахождение уполномоченного лица;
• основания обработки персональных данных (наличие договора, акта законодательства либо решения государственного органа);
• цель обработки персональных данных;
• перечень персональных данных, обработка которых поручена уполномоченному лицу;
• перечень действий с персональными данными, осуществляемых уполномоченным лицом;
• принимаемые правовые, организационные и технические меры по обеспечению защиты персональных данных, в том числе их обезличиванию;
• сроки хранения персональных данных (дата или период времени), либо критерии, используемые для определения.

ГЛАВА 11

ТРЕБОВАНИЯ, ПРИМЕНЯЕМЫЕ К РАЗРАБОТКЕ ПОЛОЖЕНИЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЕТИ ИНТЕРНЕТ

59. Оператором разрабатываются Положения обработки персональных данных в сети Интернет (далее – Положение), которые разрабатываются подразделениями Оператора, непосредственно ответственными за предоставление официальной информации о деятельности Оператора в сети Интернет посредством социальных сетей (Instagram, ВКонтакте, Одноклассники, Facebook, Twitter и т.п.), мессенджеров (Telegram, WhatsApp, Viber и т.п.), видеохостингов (YouTube и т.п.) и т.д (далее – информационные ресурсы).
60. Оператором разрабатываются Положения с указанием перечня осуществляемых Оператором действий с персональными данными, целями обработки, источников получения персональных данных и сроков их хранения, которые являются неотъемлемой частью Политики.
61. Регистрация официальных аккаунтов, каналов информационных ресурсов Оператором в сети Интернет осуществляется с телефонных номеров или адресов электронной почты зарегистрированных в установленном порядке на Оператора или уполномоченное лицо.
62. В официальных каналах, аккаунтах размещается информация о его владельце и адресе расположения.
63. Положениями предусматривается следующие:

• конфиденциальность логинов и паролей официальных аккаунтов, каналов при осуществлении работы с ними;
• порядок предоставления доступа к администрированию канала, аккаунта специалистов Оператора;
• ответственность лиц осуществляющих администрирование аккаунтов, каналов и осуществляющих их наполняемость информацией лиц за не правомерное распространение персональных данных;
• форма согласия субъекта персональных данных на обработку персональных данных в соответствии с требованиями Закона (при необходимости);
• способы и процедура удаления (обезличивания), изменения персональных данных при обращении субъекта персональных данных об удалении и изменении его персональных данных;
• иные мероприятия направленные на обеспечение сохранности персональных данных пользователей каналов, аккаунтов, которые доступны только их администраторам;
• принимаемые правовые, организационные и технические меры по обеспечению защиты персональных данных до размещения персональных данных в сети Интернет;
• действия, осуществляемые при обработке персональных данных;
• порядок удаления и изменения персональных данных;
• сроки хранения персональных данных (дата или период времени), либо критерии, используемые для определения.

64. Оператором осуществляется размещение персональных данных субъектов персональных данных на корпоративных сайтах РУП «Белтелеком» в соответствии с правовыми нормами и требованиями, предусмотренными законодательством в области защиты персональных данных, которые отражаются в Инструкции по размещению информации на корпоративных сайтах РУП «Белтелеком» и их языковых версиях, утвержденной руководителем Оператора.

ГЛАВА 12

ТРЕБОВАНИЯ, ПРИМЕНЯЕМЫЕ К РАЗРАБОТКЕ ПОЛОЖЕНИЙ О ПОРЯДКЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ БЕЗ СРЕДСТВ АВТОМАТИЗАЦИИ

65. Оператором разрабатываются Положения о порядке обработки персональных данных в структурных подразделениях (далее – Положения) в случае, обработки персональных данных без использования средств автоматизации, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы, архивные учеты и другое).
66. Положения разрабатывают структурные подразделения аппарата управления, производств и филиалов Оператора, непосредственно участвующие в сборе и обработке персональных данных с указанием перечня осуществляемых Оператором действий с персональными данными, целей обработки, источников получения персональных данных и сроков их хранения, которые являются неотъемлемой частью Политики.
67. Положением предусматривается следующее:

• установление режима обработки персональных данных;
• перечень должностей работников Оператора осуществляющих обработку персональных данных с указанием соотношения к целям обработки персональных данных и их категориям;
• порядок доступа работников к персональным данным для выполнения своих должностных обязанностей в объеме, необходимом для надлежащего выполнения этих обязанностей;
• порядок доступа к персональным данным уполномоченных и третьих лиц в соответствии с требованиями законодательства;
• права доступа работника при осуществлении обработки и защиты персональных данных;
• механизм учета персональных данных переданных третьим лицам;
• процедура удаления персональных данных;
• ответственность работника за нарушения требований обработки и защиты персональных данных.