Работа с персональными данными

1.                Предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных.

До получения согласия субъекта персональных данных на обработку его персональных данных оператор обязан предоставить субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения такого согласия, информацию, содержащую:

наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора (организации), получающего согласие субъекта персональных данных;

цели обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

срок, на который дается согласие субъекта персональных данных;

информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;

перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;

иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.

Предоставление субъекту персональных данных указанной информации до получения его согласия на обработку персональных данных может быть сделано в уведомлении.

2.                Разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных.

До получения согласия субъекта персональных данных оператор должен разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

Разъяснение субъекту  персональных данных такой информации до получения его согласия на обработку персональных данных может быть сделано в отдельном уведомлении.

3.                Получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь.

Субъект персональных данных при даче своего согласия оператору на обработку персональных данных указывает:

фамилию, собственное имя, отчество (если таковое имеется);

дату рождения;

идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность.

Если цели обработки персональных данных не требуют обработки выше указанной информации, эта информация не подлежит обработке оператором при получении согласия субъекта персональных данных.

Субъекту персональных данных предоставлено право в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления:

в порядке, установленном ст.14 Закона № 99-З;

в форме, посредством которой получено его согласие.

Заявление субъекта персональных данных для реализации его прав (права на отзыв согласия субъекта персональных данных; права на получение информации, касающейся обработки персональных данных, и изменения персональных данных; права на получение информации о предоставлении персональных данных третьим лицам; права требовать прекращения обработки персональных данных и (или) их удаления) должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных.

В случае смерти субъекта персональных данных, объявления его умершим согласие на обработку его персональных данных дают один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Не требуется согласие субъекта персональных данных на обработку персональных данных (за исключением специальных персональных данных) в следующих случаях:

для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;

для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;

в целях осуществления контроля (надзора) в соответствии с законодательными актами;

при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

 при реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь, депутата местного Совета депутатов;

 для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

 при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

для осуществления нотариальной деятельности;

 при рассмотрении вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь;

в целях назначения и выплаты пенсий, пособий;

для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;

при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;

для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;

в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

в случаях, когда Законом № 99-З и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных (ст.6 Закона № 99-З).

Запрещается обработка специальных персональных данных без согласия субъекта персональных данных, за исключением следующих случаев, не требующих такого согласия:

если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;

при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

при обработке общественными объединениями, политическими партиями, профессиональными союзами, религиозными организациями персональных данных их учредителей (членов) для достижения уставных целей при условии, что эти данные не подлежат распространению без согласия субъекта персональных данных;

 в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;

в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь, о гражданстве, о порядке выезда из Республики Беларусь и въезда в Республику Беларусь, о статусе беженца, дополнительной защите, убежище и временной защите в Республике Беларусь;

в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;

для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

для осуществления административных процедур;

при документировании населения;

для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

в случаях, когда Законом № 99-З и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.

4.                Назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.

5.                Издание документов, определяющих политику оператора в отношении обработки персональных данных.

6.                Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных.

7.                Определение порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).

Защита персональных данных при их обработке осуществляется:

с использованием средств автоматизации;

без использования средств автоматизации.

В случае защиты персональных данных без использования средств автоматизации обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

Доступ к персональным данным предоставляется только тем работникам учреждения, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. В учреждении установлен перечень лиц, имеющих доступ к персональным данным.

Лицо, получившее доступ к персональным данным, обязано не допускать распространения, разглашения и использования без согласия субъекта персональных данных этой информации, а также при наличии иного законного основания.

8.                Осуществление технической защиты персональных данных, содержащих персональные данные.

Работа по технической защите информации выполняется должностным лицом, ответственным за обеспечение защиты информации.

9.                Обеспечение неограниченного доступа, в том числе с использованием сети Интернет, к документам, определяющим политику оператора в отношении обработки персональных данных, до начала такой обработки

10.            Обработка персональных данных.

11.            Прекращение обработки персональных данных при отсутствии оснований для их обработки.

Оператор прекращает обработку персональных данных, а также осуществляет их удаление или блокирование при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами.

12.            Незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных.

Оператор осуществляет изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами.

13.            Изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных.

Обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.

14.            Ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей.

15.            Хранение персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

16.  Прекращение обработки персональных данных и их удаление.

Субъекту персональных данных предоставлено право требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных.

В этом случае оператор обязан в 15-дневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных.