обработка персональных данных

права субъектов персональных данных

Основные права субъекта персональных данных

Субъекты персональных данных в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) наделены широким кругом прав. Права субъекта персональных данных являются действенным инструментом контроля за обработкой принадлежащих ему персональных данных.

Важно!

Соответствующие права принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).

Основные права субъектов персональных данных закреплены в Законе. К ним относятся:

право на отзыв согласия;
право на получение информации, касающейся обработки персональных данных;
право требовать внесения изменений в персональные данные;
право на получение информации о предоставлении персональных данных третьим лицам;
право требовать прекращения обработки персональных данных и (или) их удаления;
право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
право на возмещение морального вреда.

Реализация прав субъекта персональных данных

Права субъекта персональных данных реализуются путем подачи заявления оператору. В случае направления заявления субъекта персональных данных для реализации своих прав уполномоченному лицу, последний не обязан отвечать на данный запрос. Вместе с тем, ответ уполномоченным лицом на заявление субъекта персональных данных не будет противоречить законодательству о персональных данных.

Порядок подачи заявления субъектом персональных данных оператору установлен в статье 14 Закона.

Для реализации прав, предусмотренных статьями 10 – 13 Закона, субъекту персональных данных необходимо подать оператору заявление в письменной форме либо в виде электронного документа.

Заявление субъекта персональных данных должно содержать:

  • фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
  • дату рождения субъекта персональных данных;
  • идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
  • изложение сути требований субъекта персональных данных;
  • личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

Срок ответа на заявление зависит от реализуемого субъектом персональных данных права (часть первая пункта 2 статьи 10, пункт 2, часть вторая пункта 4 статьи 11, пункт 2 статьи 12, часть первая пункта 2 статьи 13 Закона):

свернуть

Политика видеонаблюдения

 

Политика видеонаблюдения

по состоянию на 3 ноября 2023 г.

1. Настоящее Положение разработано в соответствии с Положением о видеонаблюдении, утвержденным приказом директора Национального центра защиты персональных данных от 20 апреля 2022 г. № 31, с целью разъяснения субъектам персональных данных целей обработки их изображений, попавших на камеру(ы) видеонаблюдения Национального центра защиты персональных данных и отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.

2. В Национальном центре защиты персональных данных видеонаблюдение:

  • осуществляется в соответствии с абзацем двадцатым статьи 6 и пункта 1 статьи 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З ”О защите персональных данных“ (далее – Закон) для защиты обрабатываемых персональных данных, информации, содержащей охраняемую законом тайну, сведений, составляющие государственные секреты, а также контроля доступа посетителей в Национальный центр защиты персональных данных;
  • ведется круглосуточно и непрерывно при помощи камер открытого видеонаблюдения;

не используется для:

  • учета фактически отработанного работниками Национального центра защиты персональных данных рабочего времени;
  • уникальной идентификации лиц, изображенных на видеозаписи;
  • записи звука.

3. Камеры видеонаблюдения устанавливаются в открытых для общего доступа местах в следующих зонах:

  • главный вход с направлением видеонаблюдения со стороны лифта и со стороны холла;
  • коридор с направлением видеонаблюдения на эвакуационные выходы.

В иных помещениях Национального центра защиты персональных данных, в том числе предназначенных для личных нужд работников, видеонаблюдение не ведется.

4. Срок хранения видеозаписей составляет 30 дней, по истечении которого происходит их автоматическое удаление.
Если получена информация о возможной фиксации камерами видеонаблюдения ситуации, имеющей признаки совершения дисциплинарного проступка, административного правонарушения, уголовного преступления, по устному поручению директора Национального центра защиты персональных данных (лица, исполняющего его обязанности) для таких видеозаписей срок хранения может быть продлен на период проведения соответствующих мероприятий.

5. Видеозаписи не могут быть использованы работниками в личных и иных целях, не связанных с профессиональной деятельностью, и не подлежат изменению, использованию, распространению и предоставлению, кроме случаев, предусмотренных законодательными актами.

6. Субъект персональных данных имеет право:
6.1. на получение информации, касающейся обработки своих персональных данных в Национальном центре защиты персональных данных, содержащей:

  • сведения о местонахождении Национального центра защиты персональных данных;
  • подтверждение факта обработки персональных данных обратившегося лица в Национальном центре защиты персональных данных;
  • его персональные данные и источник их получения;
  • правовые основания и цели обработки персональных данных;
  • иную информацию, предусмотренную законодательством;

6.2. на получение от Национального центра защиты персональных данных информации о предоставлении своих персональных данных, обрабатываемых в Национальном центре защиты персональных данных, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

6.3. на обжалование действий (бездействия) и решений Национального центра защиты персональных данных, нарушающих его права при обработке персональных данных, в суд в порядке, установленном гражданским процессуальным законодательством.

7. Для реализации своих прав, связанных с обработкой изображения субъекта персональных данных, зафиксированного камерами видеонаблюдения, расположенными в помещениях Национального центра защиты персональных данных, субъект персональных данных подает в Национальный центр защиты персональных данных заявление в письменной форме или в виде электронного документа по адресу в сети Интернет.
Такое заявление должно содержать:

  • фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
  • дату рождения субъекта персональных данных;
  • изложение сути требований субъекта персональных данных;
  • личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

В связи с тем, что в Национальном центре защиты персональных данных видеонаблюдение не используется для уникальной идентификации лиц, изображенных на видеозаписи, а срок хранения видеозаписей составляет 30 дней, если иное не определено в части второй пункта 4 настоящего Положения, изложение сути требований субъекта персональных данных должно содержать дату и период времени записи изображения субъекта персональных данных. Период времени определяется в пределах часового интервала.

8. Национальный центр защиты персональных данных не рассматривает заявления субъектов персональных данных, которые не соответствуют требованиям пункта 7 настоящего Положения, в том числе направленные иными способами (e-mail, телефон, факс и т.п.).

9. За содействием в реализации прав, связанных с обработкой персональных данных в Национальном центре защиты персональных данных, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Национальном центре защиты персональных данных, в том числе направив сообщение на адрес электронной почты: dpo@cpd.by.

свернуть

реестр обработки персональных данных

Какие организации должны вносить сведения в государственный информационный ресурс ”Реестр операторов персональных данных“ (далее – Реестр)?

Подпунктом 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ (далее – Указа № 422) установлена обязанность операторов, являющихся государственными органами, юридическими лицами Республики Беларусь, иными организациями, по установлению и поддержанию в актуальном состоянии перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами)[1] которых они являются.

Подпунктом 3.6 пункта 3 Указа № 422 на операторов с 1 января 2024 г. дополнительно возложена обязанность вносить в Реестр сведения об информационных ресурсах (системах), в которых обрабатываются персональные данные, в случаях, когда такие ресурсы (системы) соответствуют критериям, установленным приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 ”О государственном информационном ресурсе ”Реестр операторов персональных данных“ (далее – Приказ № 94).

С учетом взаимосвязанных положений подпунктов 3.5 и 3.6 пункта 3 Указа № 422 все операторы[2] независимо от формы собственности, в том числе операторы, являющиеся государственными органами и организациями, должны вносить в Реестр сведения об информационных ресурсах (системах), содержащих персональные данные, собственниками (владельцами) которых они являются.

Сведения об информационных ресурсах (системах), содержащих персональные данные, могут вноситься в Реестр от имени или в интересах оператора его уполномоченным лицом2.

[1] Термины ”собственник информационного ресурса (системы)“ и ”владелец информационного ресурса (системы)“ используются в значениях, определенных в Законе Республики Беларусь от 10 ноября 2008 г. № 455-З ”Об информации, информатизации и защите информации“.

[2] Термины ”оператор“ и ”уполномоченное лицо“ используются в значении, определенном в Законе Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

Каковы сроки внесения сведений в Реестр?

В соответствии с пунктом 2 Приказа № 94 оператор или уполномоченное лицо вносят сведения в реестр не позднее 15 января 2024 г., а в отношении информационного ресурса (системы), созданного (созданной) после 1 января 2024 г., – в течение десяти рабочих дней после ввода его (ее) в постоянную эксплуатацию.

Каким способом вносятся сведения в Реестр?

Сведения вносятся в Реестр в электронном виде. Для этого необходимо пройти процедуру регистрации личного кабинета пользователя и аутентификации оператора.

Аутентификация пользователей осуществляется через Единую систему идентификации физических и юридических лиц (ЕС ИФЮЛ) с использованием электронной цифровой подписи.

Соответственно, при подготовке к внесению информации в Реестр необходимо предпринять организационные и технические меры, обеспечивающие возможность использования внешних интегрированных сервисов (ЕС ИФЮЛ, ГосСУОК).

В случае отсутствия технической возможности доступа к Реестру в целях соблюдения сроков, установленных Приказом № 94, сведения для внесения в Реестр могут быть направлены в виде заявки посредством системы межведомственного документооборота или почтовой связи.

Направленная посредством системы межведомственного документооборота или почтовой связи заявка дублируется в электронном виде на email: register@cpd.by (в формате .xlsx, .docx).

Заявки, поступившие только на адрес электронной почты Национального центра защиты персональных данных, рассмотрению не подлежат.

По результатам рассмотрения заявок Национальным центром защиты персональных данных в течение 5 рабочих дней со дня, следующего за днем их поступления (регистрации), принимается решение об их одобрении либо отклонении.

В случае, если указанные в заявке сведения об информационном ресурсе (системе) соответствуют требованиям пункта 1 Приказа № 94, заявка одобряется. Сведения, содержащиеся в заявке, поступившей посредством системы межведомственного документооборота или почтовой связи, после ее одобрения вносятся Национальным центром защиты персональных данных в Реестр в течение 3 рабочих дней со дня, следующего за днем ее одобрения.

В случае, если указанные в заявке сведения об информационном ресурсе (системе) не соответствуют требованиям пункта 1 Приказа № 94, заявка отклоняется.

Об одобрении либо отклонении заявок, поступивших посредством системы межведомственного документооборота или почтовой связи, оператор (уполномоченное лицо) письменно информируется посредством системы межведомственного документооборота либо почтовой связи в течение 3 рабочих дней со дня, следующего за днем их одобрения либо отклонения соответственно.

Образец письма-заявки:
Заявка для внесения свед. в Реестр_Excel
Заявка для внесения свед. в Реестр_Word

В каких случаях информация об информационном ресурсе (системе) подлежит внесению в Реестр?

Подпунктом 1.1 пункта 1 Приказа № 94 определено, что Реестр содержит информацию об информационных ресурсах (системах), посредством которых осуществляется:

  • трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных абзацами пятым – седьмым пункта 1 статьи 9 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“;
  • обработка биометрических и (или) генетических персональных данных;
  • обработка персональных данных более 100 тыс. физических лиц;
  • обработка персональных данных более 10 тыс. физических лиц, не достигших возраста шестнадцати лет.

Необходимо отметить, что факт регистрации информационного ресурса (системы) в Государственном регистре информационных ресурсов или Государственном регистре информационных систем в порядке, предусмотренном постановлением Совета Министров Республики Беларусь от 26 мая 2009 г. № 673 ”О некоторых мерах по реализации Закона Республики Беларусь ”Об информации, информатизации и защите информации“, для цели внесения сведений в Реестр значения не имеет.

Таким образом, если посредством информационного ресурса (системы) оператора осуществляется обработка персональных данных, соответствующая одному и (или) нескольким критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94, сведения о таком информационном ресурсе (системе) подлежат внесению в Реестр.

Оценка соответствия информационного ресурса (системы) критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94, осуществляется оператором.

Примеры.

А) В организации используется программный продукт фирмы ”1С“, в котором осуществляется хранение сведений более 100 тыс. физических лиц.
Обработка персональных данных посредством такого информационного ресурса подпадает под критерий, предусмотренный абзацем четвертым подпункта 1.1 пункта 1 Приказа № 94.
Таким образом, сведения о таком информационном ресурсе подлежат внесению в Реестр.

Б) Частная медицинская клиника осуществляет обработку сведений о здоровье клиентов посредством информационного ресурса, в котором хранятся результаты анализов, в том числе генетических, фото пациентов до и после хирургического вмешательства, стоматологические снимки.
Поскольку в таком информационном ресурсе обрабатываются генетические персональные данные (соответствуют критерию, предусмотренному абзацем третьим подпункта 1.1 пункта 1 Приказа № 94), сведения о таком информационном ресурсе подлежат внесению в Реестр независимо от количества физических лиц, персональные данные которых обрабатываются в этом ресурсе.

В) В организации используется система видеонаблюдения (ведется видеозапись в режиме реального времени), посредством которой осуществляется уникальная идентификация работников путем сопоставления с фото- и видеоизображением работников, хранящихся в системе.
Учитывая, что в информационной системе обрабатываются биометрические персональные данные (соответствуют критерию, предусмотренному абзацем третьим подпункта 1.1 пункта 1 Приказа № 94), сведения о такой информационной системе подлежат внесению в Реестр.
Сведения о системах видеонаблюдения, посредством которых уникальная идентификация субъектов персональных данных не осуществляется, в Реестр не вносятся.

Г) В организации посредством Microsoft Excel ведется база данных клиентов с указанием фамилии, имени, отчества, адреса места жительства и контактного телефона. Список насчитывает персональные данные более 100 тыс. физических лиц.
Сведения о таком информационном ресурсе подлежат внесению в Реестр, так как осуществляемая в нем обработка персональных данных соответствует критерию, предусмотренному абзацем четвертым подпункта 1.1 пункта 1 Приказа № 94.

Д) Учреждение здравоохранения (детская поликлиника) обрабатывает персональные данные более 10 тыс. физических лиц, не достигших возраста шестнадцати лет, посредством информационного ресурса.
Сведения о таком информационном ресурсе подлежат внесению в Реестр, так как осуществляемая в нем обработка персональных данных соответствует критерию, предусмотренному абзацем пятым подпункта 1.1 пункта 1 Приказа № 94.

 

свернуть

Политика в отношении обработки cookie

1.Куки (англ. cookies) являются текстовым файлами, сохраненными на компьютере (мобильном устройстве) пользователя интернет-сайтов [«название организации»] (далее - Сайт, Сайты) при их посещении для отражения совершенных действий. Эти файлы позволяют не вводить заново или выбирать те же параметры при повторном посещении Сайта, например, выбор языковой версии.

Целью обработки куки является обеспечение удобства пользователей Сайтов и повышение качества их функционирования.

2. На Сайтах обрабатываются следующие типы куки:

  • необходимые (технические) - нужны для функционирования корректной работы сайта;
  • функциональные - позволяют обеспечить индивидуальный опыт использования сайта и устанавливаются в ответ на действия субъекта персональных данных;
  • статистические (аналитические) - позволяют хранить историю посещений страниц сайта в целях повышения качества его функционирования, чтобы определить наиболее и наименее популярные страницы.

3. Обрабатываемые на Сайтах куки и сроки их хранения:

Тип куков

Файл куки / Сервис

Назначение

Срок хранения

необходимые

__Secure-SessionId

Этот файл куки сохраняет данные сеанса на время посещения веб-сайта пользователем для обеспечения корректной работы сайта

на время пользования сайтом (сессия)

необходимые

Poll

Этот файл куки сохраняет факт участия в опросе для предотвращения повторного участия в одном и том же опросе

не более года

функциональные

Google Translate*

Данный сервис устанавливает куки файлы для обеспечения сохранения выбора языка при переключении между страницами сайта и идентификации пользователя в сервисах Google

часть на время пользования сайтом, а остальные - не более года

функциональные

Яндекс.Переводчик*

Данный сервис устанавливает куки файлы для обеспечения сохранения выбора языка при переключении между страницами сайта и идентификации пользователя в сервисах Яндекса

часть на время пользования сайтом, а остальные - не более года

функциональные

Яндекс.Поиск*

Данный сервис устанавливает куки файлы для обеспечения работы поиска по сайту и идентификации пользователя в сервисах Яндекса.

часть на время пользования сайтом, а остальные - не более года

статистические

Яндекс.Метрика*

Данный сервис устанавливает куки файлы для сбора информации о поведении пользователей на сайте и идентификации пользователя в сервисах Яндекса.

часть на время пользования сайтом, а остальные - не более 2х лет

* - Названия и количество куков-файлов определяется данными сервисами самостоятельно и могут изменяться.

4. В рамках обеспечения полноценного функционирования Сайта и повышения качества его работы к обработке куков-файлов могут допускаться следующие сторонние организации:

Google Inc. (юридический адрес: 1600 Amphitheatre Parkway, Mountain View, CA 94043, США) с целью обеспечения сохранения выбора языка при переключении между страницами сайта Сайта и идентификации пользователя в сервисах Google;

ООО «Яндекс» (юридический адрес: Российская Федерация, 119021, г. Москва, ул. Л. Толстого, 16) с целями:

  • обеспечения сохранения выбора языка при переключении между страницами сайта Сайта и идентификации пользователя в сервисах Яндекса;
  • обеспечения работы поиска по Сайту и идентификации пользователя в сервисах Яндекса;
  • сбора информации о поведении пользователей на Сайте и идентификации пользователя в сервисах Яндекса.

Указанным организациям на основании согласия пользователя Сайта может осуществляется трансграничная передача информации, собранной при помощи куков-файлов.

При этом Google Inc. имеет юридический адрес в государстве США, на территории которого не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется Национальным центром защиты персональных данных.

5. Пользователи могут принять или отклонить все обрабатываемые на Сайтах куки, кроме необходимых.
Отключение функциональных куки может привести к ограничению пользователя в доступе к определенным функциональным возможностям Сайта.

Отключение статистических куки не позволяет определять предпочтения пользователей Сайта, в том числе наиболее и наименее популярные страницы и принимать меры по совершенствованию работы Сайта исходя из предпочтений пользователей.

6. Сайт сохраняет выбор пользователя о настройках куков-файлов в течение 1 (одного) года. По окончании этого периода Сайт вновь запросит у пользователя Сайта сделать выбор настроек куков-файлов.

Вместе с тем пользователи вправе изменить свой выбор настроек куки (в том числе отозвать согласие) в любое время в интерфейсе Сайта путем нажатия кнопки "Настройка обработки cookie"   размещенную в нижнем левом углу сайта.

7. Помимо настроек куки на Сайте субъекты персональных данных могут принять или отклонить сбор всех или некоторых куки в настройках своего браузера.

При этом некоторые браузеры позволяют посещать интернет-сайты в режиме ”инкогнито“, чтобы ограничить хранимый на компьютере объем информации и автоматически удалять сессионные куки. Кроме того, субъект персональных данных может удалить ранее сохраненные куки, выбрав соответствующую опцию в истории браузера.

свернуть
поделиться в: