ГЛАВА 1 ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая Политика учреждения здравоохранения «Витебская областная клиническая больница» (далее – Оператор) в отношении обработки персональных данных при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных (далее – Политика) разработана в соответствии с Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» в отношении информации о субъектах персональных данных, которую Оператор может обрабатывать при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных.
2. Положения Политики действуют в отношении всех персональных данных, обрабатываемых Оператором при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных,
3. Настоящая Политика распространяется на все процессы Оператора, связанные с обработкой персональных данных субъектов, и обязательна для применения всеми работниками Оператора, осуществляющими обработку персональных данных в силу своих должностных обязанностей.
4. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством. Если международным договором установлены иные правила чем те, которые предусмотрены Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», то применяются правила международного договора.
5. Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных целей.

В случае необходимости изменения первоначально заявленных целей обработки персональных данных Оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки.

ГЛАВА 2

ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6. Оператор обрабатывает персональные данные работников в соответствии: Уставом перечнем лиц, имеющих допуск к обработке персональных данных; реестром обработки персональных данных;

положением о порядке работы с персональными данными;

положение о порядке допуска работников и иных лиц к обработке персональных данных;

положением о порядке уничтожения персональных данных;

трудовыми        договорами        (контрактам),        договорами        о       материальной ответственности, договорами на обучение, которые Оператор заключает с работниками;

уведомлениями субъекта персональных данных о разъяснении его прав, связанных с обработкой персональных данных;

согласиями на обработку персональных данных;

обязательствами о соблюдении порядка обработки персональных данных.

ГЛАВА 3

ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

7. Оператор обрабатывает персональные данные работников, соблюдая требования законодательства и исключительно в целях трудоустройства, оформления трудовых отношений, получения работниками образования и продвижения по работе, контроля количества и качества выполняемой работы, обеспечения трудовой и исполнительной дисциплины и сохранности имущества.
8. Целями обработки персональных данных работников Оператора являются: ведение кадрового делопроизводства;

начисление и выплата заработной платы, вознаграждений, премирования, материальной помощи;

начисление взносов в пенсионный фонд, фонд социального страхования; начисление налога на доход физических лиц;

формирование отчетности для предоставления в государственные органы; обеспечение общехозяйственной деятельности;

обеспечение экономической, пожарной, информационной безопасности; предотвращение конфликта интересов,

учет налоговых льгот при начислении заработной платы; сбор, обработка и предоставление статистических данных; иные цели в соответствии с законодательством.

9. Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т. д. – Оператор обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по законодательству и локальным правовым актам Оператора.

ГЛАВА 4

ПОНЯТИЕ, СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10. В рамках настоящей Политики под персональными данными понимается любая информация, относящиеся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
11. Персональные данные могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера.
12. Обработка персональных данных осуществляется с согласия субъекта персональных данных.

Согласие на обработку персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

Субъект персональных данных при даче своего согласия оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа,

удостоверяющего его личность, за исключением случая, предусмотренного частью второй настоящего пункта.

В случае смерти субъекта персональных данных, объявления его умершим согласие на обработку его персональных данных дают один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста шестнадцати лет, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку его персональных данных дает один из его законных представителей.

Лица, в случае дачи согласия на обработку персональных данных вместо субъекта персональных данных пользуются правами субъекта персональных данных, предусмотренными законодательством

13. Оператор осуществляет обработку персональных данных при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных следующих категорий субъектов персональных данных:

действующие работники; уволенные работники;

близкие родственники работников; студенты;

внешние совместители; соискатели вакансий.

14. Перечень персональных данных, подлежащих обработке: фамилия, собственное имя, отчество, возраст, дата рождения;

паспортные данные (данные идентификационной карты) или иного документа, удостоверяющего личность физического лица;

образование, специальность, квалификация, трудовой стаж, опыт работы; повышение квалификации, профессиональная подготовка, переподготовка,

аттестация;

занимаемая должность служащего или выполняемая работа по профессии рабочего;

сведения о воинском учете;

социальные гарантии и льготы и основания для них;

состояние здоровья работника, результаты медицинского осмотра, психиатрического освидетельствования;

адрес места жительства, номер телефона;

иные персональные данные, в соответствии с законодательством.

Оператор в рамках своей деятельности вправе осуществлять обработку специальных категорий персональных данных, включая сведения о судимости.

15. Персональные данные о семейном положении работников и членах их семей: о наличии детей и иждивенцев;

состоянии здоровья членов семьи; необходимости ухода за больным членом семьи; усыновлении и удочерении;

иных фактах, на основании которых работникам по законодательству и локальным правовым актам Оператора должны быть предоставлены гарантии и компенсации.

ГЛАВА 5

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

16. Оператором организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
17. Доступ к персональным данным имеют только те лица, кому это необходимо для исполнения должностных (трудовых) обязанностей. Работники, получающие доступ к персональным данным, определяются приказом главного врача. Они проходят процедуру допуска, в процессе которой обучаются методам и способам безопасной обработки персональных данных.

Права,       обязанности       и      ответственность       работников,       обрабатывающих персональные данные, закрепляются в их должностных (рабочих) инструкциях и (или)              трудовых      договорах     (контрактах).       Они     дают      отдельное      письменное обязательство о соблюдении порядка обработки персональных данных, в том числе после увольнения.

За нарушение правил обработки персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения по пункту 10 части первой статьи 47 Трудового кодекса Республики Беларусь.

18. В случаях,       предусмотренных        законодательством,        в      частности предусмотренных статьями 6 и 8 Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных», Оператор обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях Оператор предлагает субъекту персональных данных оформить согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
19. Оператор хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.

При достижении целей обработки Оператор уничтожает персональные данные. Исключение:

персональные данные должны храниться длительное время в силу требований нормативных правовых актов;

кандидат на работу желает остаться в кадровом резерве.

20. Оператор передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством.

ГЛАВА 6

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

21. Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;

подтверждение         факта        обработки        персональных        данных        оператором (уполномоченным лицом);

его персональные данные и источник их получения; правовые основания и цели обработки персональных данных;

срок, на который дано его согласие;

наименование и место нахождения уполномоченного лица, которое является государственным       органом,      юридическим      лицом      Республики       Беларусь,      иной организацией, если обработка персональных данных поручена такому лицу;

иную информацию, предусмотренную законодательством.

22. Для получения указанной информации, субъект персональных данных подает оператору заявление в письменной форме либо в виде электронного документа. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных                                данных        и предъявления         документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.
23. Заявление субъекта персональных данных должно содержать:

фамилию,      собственное      имя,      отчество      (если      таковое      имеется)      субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.;

24. Оператор при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Национального центра по защите персональных данных блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
25. Субъект персональных данных, в целях уточнения и актуализации своих персональных данных обязан своевременно представлять Оператору информацию об изменении своих персональных данных.

ГЛАВА 7

МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

26. Оператор обязан      принимать       организационные       и технические       меры по обеспечению защиты персональных данных от             несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
27. Обязательными мерами по обеспечению защиты персональных данных являются:

назначение оператором структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;

ознакомление         работников         оператора         и иных         лиц,        непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;

установление       порядка       доступа       к персональным       данным,       в том      числе обрабатываемым в информационном ресурсе (системе);

осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Классификация информационных ресурсов (систем), содержащих персональные данные,                   в целях      определения      предъявляемых      к ним      требований      технической и криптографической защиты персональных данных устанавливается уполномоченным органом по защите прав субъектов персональных данных.