ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение об обработке и защите персональных данных (далее – Положение) определяет порядок обработки персональных данных в Частном унитарном предприятии по оказанию услуг «АйТиНИМАКС» (далее – Организация), включая порядок доступа к персональным данным, порядок осуществления внутреннего контроля, порядок рассмотрения заявлений субъектов персональных данных, порядок ведения реестра обработок персональных данных.
2. Положение и изменения к нему утверждаются директором Организации.
3. Положение является локальным правовым актом Организации, обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Положением.
4. Обработка персональных данных осуществляется в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон № 99-З).
5. Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.
6. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иным законодательством.

6.1. До принятия решения о получении согласия на обработку персональных данных, лицо, непосредственно осуществляющее обработку персональных данных, должно сначала проверить наличие законного правового основания для обработки персональных данных, предусмотренного статьями 6 и 8 Закона № 99-З, а также иным законодательством.

Правовые основания обработки персональных данных должны согласоваться с лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, и в обязательном порядке вноситься в реестр обработок персональных данных.

6.2. Согласия на обработку персональных данных должны храниться в структурном подразделении, в котором осуществляется обработка персональных данных на основании согласия.

 

7. Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки. Лица, непосредственно осуществляющие обработку персональных данных, несут персональную ответственность за обработку персональных данных для целей, отличных от первоначально заявленных. Предоставление персональных данных третьим лицам осуществляется только на основании официального запроса третьего лица с указанием целей предоставления персональных данных, перечня необходимых для предоставления персональных данных, правового основания предоставления персональных данных.

8. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
9. Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом № 99-З, предоставляется соответствующая информация, касающаяся обработки персональных данных и предоставления персональных данных третьим лицам.
10. В Организации принимаются меры по обеспечению достоверности обрабатываемых персональных данных, которые при необходимости обновляются. Достоверность персональных данных обеспечивается в том числе путем резервного копирования информации, в том числе персональных данных; реализации права субъекта персональных данных на изменение своих персональных данных, а также путем контроля за изменением персональных данных, обрабатываемых в информационных системах, в том числе посредством разграничения прав пользователей информационной системы.

11. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
12. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и сети Интернет.
13. Работа с персональными данными в электронном виде осуществляется работниками посредством использования персональных рабочих компьютеров. Вход в систему работником осуществляется посредством идентификации и аутентификации – путем ввода логина и пароля. Пароли определяются и устанавливаются системным администратором Организации.

 

14. Запрещается:

14.1. передача паролей другим работникам;

14.2. передача паролей от системного администратора пользователю при помощи почтовых сообщений либо иным другим открытым способом через Интернет;

14.3. оставлять пароль, записанный на бумажном носителе, в доступном для посторонних лиц месте (в том числе на рабочем столе, экране монитора);

14.4. вводить пароль от учетной записи при посторонних лицах.

 

15. Плановая смена паролей должна проводиться регулярно, не реже 1 раз в год.
16. Любая информация, поступающая на персональный рабочий компьютер по телекоммуникационным каналам, а также с иных материальных (съемных) носителей, подлежит обязательному антивирусному контролю с использованием антивирусных средств.
17. Разархивирование и антивирусный контроль такой информации осуществляются работником непосредственно после ее приема.
18. Антивирусный контроль отправляемой с компьютера (записываемой с него на иной материальный (съемный) носитель) информации осуществляется работником непосредственно перед ее архивированием и отправкой (записью на иной материальный (съемный) носитель).
19. При обработке персональных данных работникам запрещается:

19.1. предоставлять персональные данные устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо реализации законодательства;

19.2. оставлять без присмотра документы и другие носители информации, содержащие персональные данные, разрешать их фотографирование или копирование;

19.3. хранить документы и другие носители, содержащие персональные данные, в условиях, допускающих доступ к ним посторонних лиц;

19.4. передавать ключи от мест хранения персональных данных посторонним лицам;

19.5. выносить документы и другие носители информации, содержащие персональные данные, за пределы рабочего кабинета (помещений организации), если это не требуется для выполнения служебных обязанностей;

19.6. использовать в качестве черновиков документы, содержащие персональные данные;

19.7. производить уничтожение документов способом, позволяющим восстановить информацию, содержащую персональные данные;

19.8. обсуждать порядок доступа, места хранения, средства и методы защиты персональных данных с кем-либо, кроме ответственных за осуществление внутреннего контроля за обработкой персональных данных и лиц, ответственных за техническую и криптографическую защиту информации, иных должностных лиц, уполномоченных на обсуждение данных вопросов.

 

ГЛАВА 2

ПОРЯДОК ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

20. Доступ к персональным данным предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. Перечень таких лиц определяется Организацией.
21. Работникам, непосредственно осуществляющим обработку персональных данных, предоставляется доступ к персональным данным исходя из занимаемой должности в день приема на работу. Предоставление доступа к персональным данным в информационных системах (ресурсах), а также отзыв предоставленных прав осуществляется системным администратором при помощи средств управления правами доступа к соответствующим системам (ресурсам).

 

22. Права доступа работника:

изменяются – в случаях перевода работника на другую должность;

прекращаются – в случае увольнения работника.

Доступ к персональным данным может быть также прекращен на основании:

организационно-распорядительного документа (приказа, поручения, указания) директора Организации (лица, исполняющего его обязанности);

иного документа с резолюцией директора Организации (лица, исполняющего его обязанности);

устного распоряжения директора Организации (лица, исполняющего его обязанности).

 

23. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе, путем ознакомления с настоящим Положением) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящим Положением.
24. Работники, не имеющие доступа к персональным данным, исходя из занимаемой должности или выполняемых функций, могут получить временный доступ к персональным данным одной или нескольких категорий и целей их обработки для выполнения служебного задания на период времени и в объеме, которые необходимы для выполнения такого задания.
25. Временный доступ к персональным данным работнику предоставляется системным администратором по устному распоряжению директора Организации (лица, исполняющего его обязанности).
26. Работникам Организации, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
27. Перечень должностных лиц, имеющих доступ к персональным данным, обрабатываемым как автоматизированным, так и не автоматизированным способом, определен в Приложении 1 к настоящему Положению.

 

ГЛАВА 3

ПОРЯДОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

28. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и их защиту от несанкционированного доступа.
29. В Организации осуществляется хранение персональных данных, содержащихся на бумажных носителях, и в электронном виде.
30. Бумажные носители, содержащие персональные данные, хранятся в специально отведенных для этого местах (в том числе в закрываемых шкафах, стеллажах в рабочих кабинетах работников, помещении, предназначенном для хранения архивов), которые обеспечивают их сохранность и защиту от несанкционированного доступа.
31. Персональные данные в электронном виде защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Организацией информационных систем и специально обозначенных Организацией баз данных (внесистемное хранение персональных данных) не допускается.
32. Хранение персональных данных, содержащихся на бумажных носителях, в Организации осуществляется децентрализовано в каждом структурном подразделении соответственно. Руководитель структурного подразделения несет ответственность за сохранность и защиту персональных данных, содержащихся на бумажных носителях, хранящихся в подчиненном ему структурном подразделении.

33. Хранение персональных данных в электронном виде осуществляется на серверах Организации, персональных рабочих компьютерах работников, а также на съемных носителях, принадлежащих Организации и (или) работникам Организации.
34. Ответственность за сохранность и защиту персональных данных в электронном виде, хранящихся на сервере Организации, несет системный администратор. Ответственность за сохранность персональных данных и защиту в электронном виде, хранящихся на персональных рабочих компьютерах работников, а также на съемных носителях, несут работники, в пользовании которых находятся персональные рабочие компьютеры и съемные носители соответственно.

35. Сроки хранения персональных данных субъектов персональных данных определяются в соответствии с законодательством об архивном деле и делопроизводстве. При определении сроков хранения персональных данных Организация руководствуется сроками, определенными Перечнем типовых документов, утвержденным постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 (далее — Перечень). Сроки хранения персональных данных, обрабатываемых в Организации, определяются в документах, определяющих политику Организации в отношении обработки персональных данных и в реестре обработок персональных данных.

36. Если срок хранения персональных данных субъектов персональных данных не определен законодательством об архивном деле и делопроизводстве, в том числе Перечнем, то срок хранения персональных данных указанных лиц устанавливается Организацией самостоятельно, исходя из целей обработки персональных данных.
37. Определение сроков в случае, указанном в пункте 36 настоящего Положения, осуществляется самостоятельно руководителями структурных подразделений, работники которых непосредственно обрабатывают персональные данные, с обязательным согласованием определяемых сроков хранения персональных данных с лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных.
38. По истечении сроков хранения персональных данных, определенных в Организации, персональные данные подлежат уничтожению (удалению) в порядке, предусмотренным настоящим Положением.
39. Контроль за сроками хранения персональных данных и своевременным их уничтожением (удалением) возлагается на руководителей структурных подразделений, работники которых непосредственно обрабатывают персональные данные.

 

ГЛАВА 4

ПОРЯДОК УНИЧТОЖЕНИЯ (УДАЛЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ

40. Основаниями для уничтожения (удаления) персональных данных являются:

40.1. достижение цели обработки персональных данных (в случае, если законодательством об архивном деле и делопроизводстве не установлена обязанность Организации осуществлять хранение персональных данных);

40.2. истечение сроков хранения персональных данных;

40.3. отзыв субъектом персональных данных согласия на обработку персональных данных;

40.4. требование субъекта персональных данных об уничтожении (удалении) персональных данных;

40.5. требование Национального центра защиты персональных данных Республики Беларусь об уничтожении (удалении) персональных данных.

41. При наличии хотя бы одного из оснований, предусмотренных пунктом 40 настоящего Положения, персональные данные, содержащиеся на бумажных носителях, подлежат уничтожению с использованием шредера. Персональные данные в электронном виде подлежат удалению. В случае невозможности удаления персональных данных, персональные данные блокируются.

42. В случае, если документы на бумажных, иных материальных носителях, содержащие персональные данные, содержат, в том числе, иную информацию, необходимую для осуществления деятельности Организации, лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, при содействии системного администратора производится удаление или обезличивание части персональных данных, если это допускается материальным носителем, способом, исключающем дальнейшую обработку этой части персональных данных, с сохранением возможности обработки иной части персональных данных.
43. Уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется комиссией, в состав которой входят руководитель структурного подразделения, работники которого непосредственно обрабатывают персональные данные, и лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. Удаление персональных данных в электронном виде осуществляется комиссией, в состав которой входят руководитель структурного подразделения, работники которого непосредственно обрабатывают персональные данные, системный администратор и лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. По решению лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, в состав комиссий, указанных в частях первой и второй настоящего пункта, могут входить иные лица.

44. По результатам уничтожения (удаления) персональных данных составляется акт об уничтожении (удалении) персональных данных по форме согласно Приложению 2 к настоящему Положению.
45. Акт об уничтожении (удалении) персональных данных составляется в день уничтожения (удаления) персональных данных лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, и подписывается указанным лицом, руководителем структурного подразделения, работники которого непосредственно обрабатывают персональные данные, и системным администратором (при его участии в удалении персональных данных), иным лицами, входившими в состав комиссии. Хранение актов об уничтожении (удалении) персональных данных осуществляется децентрализовано в каждом структурном подразделении, в котором непосредственно осуществлялась обработка персональных данных.

 

ГЛАВА 5

ПОРЯДОК РАССМОТРЕНИЯ ЗАЯВЛЕНИЙ СУБЪЕКТОВ

ПЕРСОНАЛЬНЫХ ДАННЫХ

46. Для реализации в Организации прав субъектов персональных данных, предусмотренных Законом № 99-З, в Организации организовано рассмотрение заявлений субъектов персональных данных.
47. Заявления субъектов персональных данных подлежат отдельной регистрации с присвоением индекса «/ПД». Рассмотрение заявлений субъектов персональных данных и подготовка ответов по результатам рассмотрения таких заявлений осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, несет ответственность за полноту ответа на заявление субъекта персональных данных, а также за соблюдение сроков подготовки ответа на заявление субъекта персональных данных.

48. Заявление субъекта персональных данных подлежит проверке лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, на соответствие требованиям, определенным в статье 14 Закона № 99-З. В случае несоответствия заявления субъекта персональных данных требованиям, определенным в статье 14 Закона № 99-З, заявление субъекта персональных данных не подлежит рассмотрению по существу, о чем сообщается в ответе субъекту персональных данных.

49. При получении заявления субъекта персональных данных с требованием об отзыве согласия на обработку персональных данных, лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, в 15 (пятнадцатидневный) срок:

принимает меры по прекращению обработки персональных данных (сообщает работникам, непосредственно обрабатывающим персональные данные о том, что обработка персональных данных конкретного субъекта персональных данных прекращается);

принимает меры по уничтожению (удалению) персональных данных в порядке, предусмотренном главой 4 настоящего Положения;

готовит ответ на заявление субъекта персональных данных и направляет его субъекту персональных данных.

50. При получении заявления субъекта персональных данных с требованием о предоставлении информации, касающейся обработки персональных данных, лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, в течение 5 (пяти) рабочих дней готовит ответ на заявление субъекта персональных данных, который должен содержать:

наименование Организации и ее место нахождения;

правовые основания обработки персональных данных;

категории персональных данных и источник их получения;

цели обработки персональных данных;

срок, на который дано его согласие (в случае обработки персональных данных на основании согласия);

наименование и место нахождения уполномоченного лица, если обработка персональных данных поручена такому лицу;

порядок обжалования решения Организации в части обработки персональных данных субъекта персональных данных.

51. При получении заявления субъекта персональных данных с требованием об изменении его персональных данных лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, в 15 (пятнадцатидневный) срок:

рассматривает заявление и прилагаемые к нему документы (их копии), подтверждающие необходимость внесения изменений в персональные данные;

при наличии оснований для внесения изменений в персональные данные сообщает работникам, непосредственно осуществляющим обработку персональных данных, о необходимости внесения соответствующих изменений в персональные данные;

готовит ответ на заявление субъекта персональных данных и направляет его субъекту персональных данных.

52. При получении заявления субъекта персональных данных с требованием о предоставлении информации о том, кому предоставлялись персональные данные, лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, в 15 (пятнадцатидневный) срок готовит ответ на заявление субъекта персональных данных и направляет его субъекту персональных данных. Информация о предоставлении персональных данных третьим лицам предоставляется субъекту персональных данных за последний календарный год, предшествующий дате подачи заявления. Ответ на заявление субъекта персональных данных должен содержать наименование лиц, которым предоставлялись персональные данные, перечень предоставленных персональных данных, цель предоставления персональных данных, правовое основание предоставления персональных данных, дату предоставления персональных данных, а также разъяснения для субъекта персональных данных, что право на получение информации о предоставлении персональных данных третьим лицам в этом календарном году уже реализовано.

53. При получении заявления субъекта персональных данных с требованием о прекращении обработки персональных данных, в том числе об их уничтожении (удалении) лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, в 15 (пятнадцатидневный) срок рассматривает заявление, готовит ответ на заявление субъекта персональных данных и направляет его субъекту персональных данных. В ответе на заявление субъекта персональных данных должны содержаться сведения о возможности либо невозможности прекращения обработки персональных данных, в том числе уничтожения (удаления).

54. При необходимости получения информации для подготовки ответа на заявление субъекта персональных данных лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, имеет право запросить необходимую информацию у структурных подразделений. Структурное подразделение обязано предоставить информацию, необходимую для подготовки ответа на заявление субъекта персональных данных, не позднее 2 (двух) рабочих дней со дня получения запроса лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.

55. Ответственность за своевременность предоставления информации, необходимой для подготовки ответа на заявление субъекта персональных данных, и ее полноту лежит на руководителе структурного подразделения, которое непосредственно предоставляет информацию для подготовки ответа на заявление субъекта персональных данных.

 

ГЛАВА 6

ПОРЯДОК ВЕДЕНИЯ РЕЕСТРА ОБРАБОТОК ПЕРСОНАЛЬНЫХ ДАННЫХ

56. Для целей упорядочивания обработок персональных данных, контроля за сроками хранения персональных данных, соотношения целей обработки персональных данных и правовых оснований обработки персональных данных в Организации ведутся:

56.1. Реестр обработок персональных данных (далее – Реестр) по форме согласно приложению 3;

56.2. Реестр предоставления персональных данных третьим лицам (далее – Реестр предоставления) по форме согласно приложению 4.

57. В Реестр вносятся следующие сведения:

Наименование категории субъекта персональных данных;

Цель обработки персональных данных;

Правовое основание обработки персональных данных;

Категории обрабатываемых персональных данных;

Срок хранения персональных данных;

Лицо (подразделение), непосредственно осуществляющее обработку персональных данных;

Наименование информационной системы, в которой осуществляется обработка персональных данных.

58. Правовое основание обработки персональных данных обязательно должно содержать ссылку на положения статей 4, 6, 8 и 9 Закона № 99-З.
59. В Реестр предоставления вносятся следующие сведения:

Наименование субъекта персональных данных;

Наименование категории субъекта персональных данных;

Категории предоставляемых персональных данных;

Носитель персональных данных (при наличии);

Лицо, которому персональные данные были предоставлены;

Контактные данные лица, которому персональные данные были предоставлены;

Цель предоставления персональных данных;

Правовое основание предоставления персональных данных;

Дата предоставления персональных данных.

60. Предоставление персональных данных между структурными подразделениями, в том числе работниками Организации не вносятся в Реестр предоставления.
61. Ведение Реестра и Реестра предоставления обеспечивается лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в Организации. Хранение Реестра и Реестра предоставления осуществляется на персональном рабочем компьютере лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, а также юрисконсульта Организации.

62. При необходимости лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в Организации, могут вноситься изменения в формы Реестра и Реестра предоставления.
63. Сведения для Реестра и Реестра предоставления предоставляются структурными подразделениями по требованию лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в Организации, в течение 5 (пяти) рабочих дней со дня требования о предоставлении информации для названных реестров. Ответственность за своевременность предоставления и полноту информации, указанной в части первой настоящего пункта, несут руководители структурных подразделений.

64. Работники, непосредственно осуществляющие обработку персональных данных, обязаны в течение 3 (трех) рабочих дней со дня предоставления персональных данных третьим лицам сообщать о таком предоставлении лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Организации.
65. В случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, работники, непосредственно осуществляющие обработку персональных данных, направляют лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Организации, предложения о дополнении Реестра и Реестра предоставления, изменении сведений в нем или исключении их из него в течение 5 (пяти) рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.
66. Пересмотр Реестра и Реестра предоставления с целью их актуализации производится лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в Организации, по мере необходимости, но не реже одного раза в год.
67. Резервное копирование Реестра и Реестра предоставления осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в Организации, на внешний жесткий диск (иной съемный носитель) не реже одного раза в три месяца.

 

ГЛАВА 7

ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

68. Целями осуществления внутреннего контроля за обработкой персональных данных (далее – внутренний контроль) являются:

проверка выполнения работниками требований законодательства о персональных данных, документов, определяющих политику Организации в отношении обработки персональных данных, и локальных правовых актов Организации в сфере защиты персональных данных;

оценка уровня осведомленности и знаний работников в области обработки и защиты персональных данных;

оценка необходимости и достаточности применяемых мер по обеспечению защиты персональных данных;

выявление и упреждение нарушений законодательства о персональных данных;

оказание методической помощи работникам по вопросам обработки персональных данных.

69. Внутренний контроль в Организации осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, в форме:

плановых проверок соблюдения работниками, непосредственно осуществляющими обработку персональных данных, а также работниками, имеющими доступ к персональным данным, законодательства о персональных данных, требований документов, определяющих политику Организации в отношении обработки персональных данных, и иных локальных правовых актов в сфере защиты персональных данных (далее – плановые проверки);

внеплановых проверок соблюдения работниками, непосредственно осуществляющими обработку персональных данных, а также работниками, имеющими доступ к персональным данным, законодательства о персональных данных, требований документов, определяющих политику Организации в отношении обработки персональных данных, и иных локальных правовых актов в сфере защиты персональных данных (далее – внеплановые проверки);

организации и проведения проверки знаний работников по вопросам обработки и защиты персональных данных.

70. План внутреннего контроля (далее – план) на очередной год формируется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, до 25 декабря текущего года, утверждается директором Организации и доводится до сведения всех работников.

В план могут включаться сведения:

о дате (периоде) проведения плановых проверок;

о структурных подразделениях, в которых будут проводиться плановые проверки.

о дате (периоде) проведения проверки знаний работников по вопросам обработки и защиты персональных данных;

о дате (периоде) проведения обучения работников по вопросам обеспечения защиты персональных данных;

о дате (периоде) направления работников на повышение квалификации по вопросам защиты персональных данных.

71. Плановые проверки каждого структурного подразделения Организации, в котором осуществляется обработка персональных данных, проводятся не реже 1 (одного) раза в 2 (два) года. По решению лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, плановые проверки структурных подразделений, отвечающих за наиболее подверженные рискам направления деятельности Организации, могут проводиться чаще.

72. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, не позднее чем за 3 (три) рабочих дня до начала проведения проверки уведомляет руководителя проверяемого структурного подразделения и представляет ему для ознакомления план проведения проверки.
73. Внеплановая проверка проводится:

по распоряжению директора Организации (лица, исполняющего его обязанности);

по решению лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

по предложению заинтересованных структурных подразделений.

74. Основаниями проведения внеплановой проверки могут являться:

наличие обращений граждан, в том числе индивидуальных предпринимателей, юридических лиц и их представителей, свидетельствующих о совершаемом (совершенном) нарушении требований законодательства о персональных данных при обработке персональных данных в Организации;

непосредственное обнаружение лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, несоблюдения работниками требований по обработке персональных данных, предусмотренных законодательством о персональных данных, документами, определяющими политику обработки персональных данных в Организации, иными локальными правовыми актами в сфере защиты персональных данных;

нарушение работниками требований по обработке персональных данных, предусмотренных законодательством о персональных данных, документами, определяющими политику обработки персональных данных в Организации, иными локальными правовыми актами в сфере защиты персональных данных два и более раз в течение одного календарного года.

75. При проведении внеплановой проверки уведомление руководителя проверяемого структурного подразделения об этом не производится и план проведения проверки не составляется.
76. При проведении плановых (внеплановых) проверок лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, оцениваются:

соответствие обработки персональных данных заявленным целям;

избыточность персональных данных по отношению к заявленным целям обработки;

правовые основания обработки персональных данных;

своевременность удаления (уничтожения) персональных данных, срок хранения которых истек;

соблюдение порядка доступа к персональным данным, а также к персональным рабочим компьютерам работников;

соблюдение порядка доступа в помещения, в которых осуществляется обработка персональных данных, в том числе их хранение;

соблюдение мер по хранению персональных данных, обрабатываемых в информационных системах (ресурсах);

соблюдение мер по хранению персональных данных, содержащихся в документах на бумажных носителях;

соблюдение механизма реализации прав субъектов персональных данных, включая соблюдение сроков предоставления ответов на заявления субъектов персональных данных (сроков предоставления информации, необходимой для подготовки ответа на заявление субъекта персональных данных).

77. Срок проведения плановой (внеплановой) проверки не может превышать 10 (десять) рабочих дней. По решению директора Организации (лица, исполняющего его обязанности) срок проведения плановой (внеплановой) проверки может быть продлен до 15 (пятнадцати) дней.
78. Проверки проводятся лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии. При проведении проверки работник обязан предоставить лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных, доступ к своим документам, рабочему месту и персональному рабочему компьютеру.

79. По результатам плановой (внеплановой) проверки лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, в течение 3 (трех) рабочих дней со дня окончания плановой (внеплановой) проверки составляется отчет в двух экземплярах, в котором должны быть отражены:

сроки проведения проверки, форма проведения проверки (плановая, внеплановая), наименование структурного подразделения (работника), деятельность которого проверена;

информация о соблюдении (не соблюдении) работниками требований законодательства о персональных данных, документов, определяющих политику Организации в отношении обработки персональных данных, иных локальных правовых актов в сфере защиты персональных данных;

соответствие (несоответствие) принятых работником мер по обеспечению им защиты персональных данных;

выявленные нарушения законодательства о персональных данных либо вывод об отсутствии таких нарушений;

предложения по совершенствованию обработки персональных данных и рекомендуемые сроки устранения выявленных недостатков (при их наличии).

80. Составленный отчет подписывается лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, и предоставляется директору Организации (лицу, исполняющему его обязанности).
81. По результатам рассмотрения директором Организации (лицом, исполняющим его обязанности) отчета в случае выявления по результатам плановой (внеплановой) проверки нарушений законодательства о персональных данных, требований документов, определяющих политику Организации в отношении обработки персональных данных, иных локальных правовых актов в сфере защиты персональных данных, отраженных в отчете:

определяются конкретные меры, необходимые для устранения выявленных недостатков;

решается вопрос о привлечении лиц, виновных в нарушении законодательства о защите персональных данных, к ответственности в соответствии с законодательными актами;

устанавливаются сроки устранения выявленных недостатков.

82. Контроль за реализацией мер, необходимых для устранения выявленных недостатков, осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных.
83. Организация и проведение проверки знаний работников по вопросам обработки и защиты персональных данных осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, в форме тестов. При необходимости по решению лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, проверка знаний работников по вопросам обработки и защиты персональных данных может осуществляться в форме собеседования.

84. Проверка знаний работников по вопросам обработки и защиты персональных данных осуществляется не реже 1 (одного) раза в 2 (два) года. По решению лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, проверка знаний работников структурных подразделений, отвечающих за наиболее подверженные рискам направления деятельности Организации, могут проводиться чаще.

85. Проверке знаний работников по вопросам обработки и защиты персональных данных должно предшествовать обучение работников по вопросам обработки и защиты персональных данных. Обучение работников по вопросам обработки и защиты персональных данных может быть организовано:

на базе Организации в форме лекций, просмотра обучающих видео-программ и т.д.;

посредством направления работников на обучение в учреждения образования, иные организации, обладающие правом на реализацию образовательных программ.

86. По результатам проведения проверки знаний работников по вопросам обработки и защиты персональных данных составляется в двух экземплярах отчет проведения проверки знаний, в котором отражаются сведения о:

дате проведения проверки знаний по вопросам обработки и защиты персональных данных;

форме проведения проверки знаний по вопросам обработки и защиты персональных данных;

работниках, прошедших проверку знаний по вопросам обработки и защиты персональных данных (фамилия, имя, отчество (если таковое имеется) работника, его должность, наименование структурного подразделения);

работниках, не прошедших проверку знаний по вопросам обработки и защиты персональных данных (фамилия, имя, отчество (если таковое имеется) работника, его должность, наименование структурного подразделения);

сроках повторной проверки знаний работников, не прошедших проверку знаний по вопросам обработки и защиты персональных данных.

87. Отчет подписывается лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, и предоставляется директору Организации.

 

ГЛАВА 8

ПОРЯДОК РЕАГИРОВАНИЯ НА НАРУШЕНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

88. О нарушении системы защиты персональных данных в информационных системах (ресурсах) Организации может свидетельствовать следующее:

признаки наличия на компьютере вредоносной программы;

обнаружение попыток несанкционированного доступа к компьютеру, программному обеспечению, локальной сети, информационным системам (ресурсам), базам и банкам данных, содержащим персональные данные;

уведомление антивирусного средства о нарушении информационной безопасности на компьютере;

уведомление об отклонениях в работе установленных на компьютере системных или прикладных программ;

наличие файлов с нечитаемыми названиями;

неоднократные неудачные попытки авторизации на компьютере;

невозможность аутентификации в информационной системе (ресурсе).

89. О нарушении системы защиты персональных данных, содержащихся в документах на бумажных носителях и (или) иных материальных, может свидетельствовать следующее:

несоблюдение правил хранения персональных данных, содержащихся в документах на бумажном и (или) ином материальном носителе;

визуальные признаки повреждения места хранения персональных данных, содержащихся в документах на бумажных и (или) иных материальных носителях;

визуальные признаки нарушения доступа в помещения, где осуществляется обработка персональных данных, в том числе их хранение.

90. При возникновении нарушения системы защиты персональных данных работник незамедлительно информирует об этом директора Организации (лицо, исполняющее его обязанности), лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. Лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, с привлечением, при необходимости иных лиц:

проводится оценка риска и последствий нарушения системы защиты персональных данных;

вырабатывается стратегия реагирования на нарушение системы защиты персональных данных;

принимаются все возможные меры по устранению (при невозможности устранения – минимизации) последствий нарушений системы защиты персональных данных и исключению подобного в дальнейшем;

производится документирование нарушения системы защиты персональных данных с составлением заключения по факту его возникновения.

91. В течение трех рабочих дней после обнаружения нарушения системы защиты персональных данных Организация письменным уведомлением сообщает о нарушении системы защиты персональных данных в Национальный центр защиты персональных данных Республики Беларусь, за исключением если нарушение системы защиты персональных данных не привело к:

незаконному распространению, предоставлению персональных данных;

изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

 

ГЛАВА 9

МЕРЫ, ПРИНИМАЕМЫЕ ОРГАНИЗАЦИЕЙ ДЛЯ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

92. Организация принимает правовые, организационные и технические меры по обеспечению защиты персональных данных при их обработке.
93. К правовым мерам по обеспечению защиты персональных данных при их обработке, принимаемым Организацией, относятся:

93.1. издание документов, определяющих политику Организации в отношении обработки персональных данных;

93.2. получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, когда обработка персональных данных осуществляется в соответствии с законодательством;

93.3. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;

93.4. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;

93.5. прекращение обработки персональных данных при отсутствии оснований для их обработки.

94. К организационным мерам по обеспечению защиты персональных данных при их обработке, принимаемым Организацией, относятся:

94.1. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в Организации;

94.2. ознакомление работников, непосредственно осуществляющих обработку персональных данных в Организации, с положениями законодательства о персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, иными локальными правовыми актами в сфере защиты персональных данных;

94.3. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

94.4. обеспечение работников, исполнение должностных обязанностей которых связано с работой на персональных рабочих компьютерах учетными записями (личное имя пользователя и пароль).

Список учетных записей и паролей хранится у системного администратора.

Учетная запись работника удаляется в день увольнения работника.

94.5. организация контроля доступа в помещения Организации посредством системы контроля управления доступом;

94.6. осуществление внутреннего контроля за обработкой персональных данных лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных;

94.7. организация резервного копирования информации, обрабатываемой в информационных системах (ресурсах).

95. К техническим мерам по обеспечению защиты персональных данных, принимаемым в Организации, относятся:

95.1. защита персональных компьютеров, в том числе информационных систем (ресурсов), от вредоносного программного обеспечения реализуется путем внедрения специального антивирусного программного обеспечения. Установка и сопровождение, а также периодическое обновление баз вирусных сигнатур средств антивирусной защиты осуществляется системным администратором;

95.2. передача персональных данных по зашифрованным каналам связи;

95.3. использование межсетевых экранов;

95.4. осуществляется ограничение входящего/исходящего трафика в Организации.

 

Приложение 1

к Положению об обработке и защите персональных данных

 

ПЕРЕЧЕНЬ

должностных лиц, имеющих доступ к персональным данным

 

Наименование должности	Категории персональных данных, к которым имеется доступ	Наименование информационной системы, в которой содержатся персональные данные	Права, которыми обладает должностное лицо при работе с информационной системой	Цель обработки персональных данных
Системный администратор; Инженер-программист	Все персональные данные, которые обрабатываются в информационных системах организации	AD Active Directory; 1C: Бухгалтерия; Виртуальный выделенный сервер (VPS).	Внесение, изменение, копирование, удаление, блокирование персональных данных	Обеспечение сохранности, резервного копирования, удаления и блокировки персональных данных
Директор; Заместитель директора по финансам	Персональные данные работников (специальные, персональные данные, которые не относятся к специальным или общедоступным)	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	При оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством
	Персональные данные представителей контрагентов: фамилия, собственное имя, отчество (если таковое имеется), сведения о месте работы, должность, контактный номер телефона, адрес электронной почты, подпись	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные лиц, заключивших с Организацией гражданско-правовой договор: фамилия, собственное имя, отчество (если таковое имеется), сведения из документа, удостоверяющего личность, номер страхового свидетельства (для подрядчиков), адрес регистрации (места жительства), контактный номер телефона.	AD Active Directory; 1C: Бухгалтерия	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные работников: фамилия, собственное имя, отчество (если таковое имеется)) потерпевшего, его пол, возраст (количество полных лет), профессия (должность), разряд (класс), стаж работы по профессии (должности) или виду работы, при выполнении которой произошел несчастный случай (количество лет, месяцев, дней). Фамилия, собственное имя, отчество (если таковое имеется) свидетелей несчастного случая, их должность место работы (если таковые имеются), адрес места жительства (места пребывания)	Не обрабатываются в информационных системах	—	Выполнение требований действующего законодательства по расследованию и учету несчастных случаев, происшедших с работниками
	Персональные данные кандидатов на вакантные должности: фамилия, собственное имя, отчество (если таковое имеется); сведения об опыте работы; сведения об образовании; возраст; контактный номер телефона, адрес электронной почты.	Не обрабатываются в информационных системах	—	Рассмотрение резюме
	Персональные данные лиц, обратившихся в Организацию с Обращением (в том числе посредством оставления записи в книге замечаний и предложений: фамилия, собственное имя, отчество (если таковое имеется), адрес места жительства, контактный номер телефона, адрес электронной почты.	Не обрабатываются в информационных системах	—	Контроль за рассмотрением обращений и подготовкой ответа на обращение
	Персональные данные индивиду-альных предпринимателей, заключивших договор на бухгалтерское обслуживание: фамилия, имя собственное, отчество (если таковое имеется); адрес регистрации; УНП; данные паспорта; контактный номер телефона, адрес электронной почты; подпись.	AD Active Directory; 1C: Бухгалтерия	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
Юрисконсульт	Персональные данные представителей контрагентов: фамилия, собственное имя, отчество (если таковое имеется), сведения о месте работы, должность, контактный номер телефона, адрес электронной почты, подпись.	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные лиц, заключивших с Организацией гражданско-правовой договор: фамилия, собственное имя, отчество (если таковое имеется), сведения из документа, удостоверяющего личность, номер страхового свидетельства (для подрядчиков), адрес регистрации (места жительства), контактный номер телефона, адрес электронной почты.	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные лиц, обратившихся в Организацию с Обращением (в том числе посредством оставления записи в книге замечаний и предложений: фамилия, собственное имя, отчество (если таковое имеется), адрес места жительства, контактный номер телефона, адрес электронной почты.	Не обрабатываются в информационных системах	—	Рассмотрение обращений и подготовка ответа на обращение
	Персональные данные работ-ников (специальные, персональ-ные данные, которые не относятся к специальным или общедоступным)	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	При оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством
	Персональные данные кандида-тов на вакантные должности: фамилия, собственное имя, отчество (если таковое имеется); сведения об опыте работы; сведе-ния об образовании; возраст; контактный номер телефона, адрес электронной почты.	Не обрабатываются в информационных системах	—	Рассмотрение резюме
	Персональные данные лиц, проходящих практику в Организации: фамилия, собст-венное имя, отчество (если таковое имеется); сведения о специальности; сведения об учреждении образования; кон-тактный номер телефона, адрес электронной почты.	Не обрабатываются в информационных системах	—	Прохождение практики, выполнение программы практики
	Персональные данные членов семьи работников и лиц,  заключивших с Организацией гражданско-правовой договор: фамилия, собственное имя, отчество (если таковое имеется), дата рождения, адрес регистра-ции (место проживания), контактный номер телефона.	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	При оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством
	Персональные данные работников: фамилия, собствен-ное имя, отчество (если таковое имеется)) потерпевшего, его пол, возраст (количество полных лет), профессия (должность), разряд (класс), стаж работы по профессии (должности) или виду работы, при выполнении которой произошел несчастный случай (количество лет, месяцев, дней). Фамилия, собственное имя, отчество (если таковое имеется) свидетелей несчастного случая, их должность,место работы (если таковые имеются), адрес места жительства (места пребывания)	Не обрабатываются в информационных системах	—	Выполнение требований действующего законодательства по расследованию и учету несчастных случаев, происшедших с работниками
	Персональные данные индиви-дуальных предпринимателей, заключивших договор на бухгалтерское обслуживание: фамилия, имя собственное, отчество (если таковое имеется); адрес регистрации; УНП; данные паспорта; контактный номер телефона, адрес электронной почты; подпись.	AD Active Directory; 1C: Бухгалтерия	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные работни-ков юридических лиц и индивидуальных предпринимате-лей, заключивших договор на бухгалтерское обслуживание	AD Active Directory; 1C: Бухгалтерия	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
Главный бухгалтер; Начальник отдела; Ведущий бухгалтер; Бухгалтер	Персональные данные работников (специальные, персональные данные, которые не относятся к специальным или общедоступным)	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	В процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством
	Персональные данные представителей контрагентов: фамилия, собственное имя, отчество (если таковое имеется), сведения о месте работы, должность, контактный номер телефона, адрес электронной почты, подпись	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные лиц, заключивших с Организацией гражданско-правовой договор: фамилия, собственное имя, отчество (если таковое имеется), сведения из документа, удостоверяющего личность, номер страхового свидетельства (для подрядчиков), адрес регистрации (места жительства), контактный номер телефона, адрес электронной почты.	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные лиц, проходящих практику в Организации: фамилия, собствен-ное имя, отчество (если таковое имеется); сведения о специаль-ности; сведения об учреждении образования; контактный номер телефона.	Не обрабатываются в информационных системах	—	Сопровождение практиканта при прохождении практики
	Персональные данные индиви-дуальных предпринимателей, заключивших договор на бухгалтерское обслуживание: фамилия, собственное имя, отчество (если таковое имеется); адрес регистрации; УНП; данные паспорта; контактный номер телефона, адрес электронной почты; подпись.	AD Active Directory; 1C: Бухгалтерия	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные работни-ков юридических лиц и индивидуальных предпринима-телей, заключивших договор на бухгалтерское обслуживание	AD Active Directory; 1C: Бухгалтерия	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
Специалист по кадрам	Персональные данные представителей контрагентов: фамилия, собственное имя, отчество (если таковое имеется), сведения о месте работы, должность, контактный номер телефона, адрес электронной почты, подпись	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные лиц, заключивших с Организацией гражданско-правовой договор: фамилия, собственное имя, отчество (если таковое имеется), сведения из документа, удостоверяющего личность, номер страхового свидетельства (для подрядчиков), адрес регистрации (места жительства), контактный номер телефона, адрес электронной почты.	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	Исполнение обязательств, предусмотренных договором с контрагентом
	Персональные данные работников (специальные, персональные данные, которые не относятся к специальным или общедоступным)	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	При оформлении тру-довых (служебных) отношений, а также в процессе трудовой (служебной) деятель-ности субъекта пер-сональных данных в случаях, предусмот-ренных законодательством
	Персональные данные членов семьи работников и лиц, заключивших с Организацией гражданско-правовой договор: фамилия, собственное имя, отчество (если таковое имеется), дата рождения, адрес регистрации (место проживания), контактный номер телефона.	AD Active Directory; 1C: Бухгалтерия.	Внесение, изменение, копирование персональных данных	При оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятель-ности субъекта персо-нальных данных в случаях, предусмот-ренных законодательством

 

Приложение 2

к Положению об обработке и защите персональных данных

 

Примерная форма

 

АКТ ОБ УНИЧТОЖЕНИИ (УДАЛЕНИИ) ПЕРСОНАЛЬНЫХ ДАННЫХ

 

№ _______

 

____. __________. 20___ г.                                                          г._________

 

Наименование категории субъекта персональных данных
Дата (ы) начала обработки персональных данных
Виды персональных данных:	общедоступные, специальные, биометрические, генетические, иные. (нужное подчеркнуть)
Категории персональных данных
Вид носителя персональных данных (название документа, раздела информационного ресурса (системы)
Основание уничтожения (удаления) персональных данных
Способ уничтожения (удаления) персональных данных

 

 

Состав комиссии:	(подпись)	(ФИО)
	(подпись)	(ФИО)

 

 

Приложение 3

к Положению об обработке и защите персональных данных

 

РЕЕСТР

обработок персональных данных

 

Категория субъекта персональных данных	Цель обработки персональных данных	Категории персональных данных	Правовое основание обработки персональных данных	Срок хранения персональных данных	Лицо (подразделение), ответственное за обработку персональных данных	Наименование информационной системы (ресурса)

 

 

Приложение 4

к Положению об обработке и защите персональных данных

 

РЕЕСТР

предоставления персональных данных третьим лицам

 

Субъект персональ-ных данных	Категория субъекта персональ-ных данных	Категории предоставля-емых персональных данных	Лицо, которому предостав- лены персональные данные	Контактные данные лица, которому были предоставлены персональные данные	Цель предоставления персональных данных	Правовое основание предоставления	Дата предоставле-ния персональных данных