Политика по обработке персональных данных

ПОЛИТИКА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ОАО «БЕЛГАЗПРОМБАНК»

УТВЕРЖДЕНО
Протокол правления
15.11.2021 № 62

(в редакции решения правления
от 30.01.2023, протокол № 5;
от 29.05.2023, протокол № 30;
от 26.06.2023, протокол № 35)

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая Политика разработана в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных) и иными актами законодательства Республики Беларусь, а также Уставом ОАО «Белгазпромбанк» в целях обеспечения защиты прав и свобод человека (как субъекта персональных данных) при обработке его персональных данных. Настоящая Политика разъясняет субъектам персональных данных, каким образом и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
2. Настоящая Политика является локальным правовым актом ОАО «Белгазпромбанк» (далее – Оператор или Банк), регламентирующим отношения, связанные с защитой персональных данных при их обработке, осуществляемой: с использованием средств автоматизации; без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
3. Банк уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.

Обработка персональных данных Банком как Оператором осуществляется в соответствии с Законом о защите персональных данных и настоящей Политикой, за исключением особенностей обработки персональных данных, входящих в состав охраняемой законом банковской тайны, осуществляемой в соответствии с банковским законодательством Республики Беларусь.

4. Действие настоящей Политики не распространяется на отношения, касающиеся случаев обработки персональных данных физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью.
5. В настоящей Политике используются основные термины и их определения в значении, определенном статьей 1 Закона о защите персональных данных.
6. В настоящей Политике также используются следующие термины в значении:
   • клиент – физическое лицо, имеющее намерение заключить договор с Банком в соответствии с банковским законодательством, или заключающее такой договор, или заключившее такой договор с Банком, либо состоящее с Банком в иных отношениях в соответствии с законодательством (в том числе кредитополучатели, поручители, должники, вкладчики, владельцы счета, вверители, поклажедатели, взыскатели, плательщики, физические лица на основании доверенности и др.);
   • представитель клиента - субъекта хозяйствования – представитель юридического лица или индивидуального предпринимателя, имеющего намерение заключить, заключающего или заключившего договор с Банком в соответствии с банковским законодательством, либо состоящего с Банком в иных правовых отношениях в соответствии с банковским законодательством;
   • законный представитель – физическое лицо, являющееся законным представителем клиента, признанного ограниченно дееспособным, недееспособным, а равно несовершеннолетнего лица до достижения им возраста шестнадцати лет;
   • пользователь сайта – физическое лицо, обращающееся на сайт (иной интернет-ресурс) Банка, если для доступа к размещенной на сайте (ином интернет-ресурсе Банка) информации, подачи обращения, получения обратной связи и иных способов пользования сайтом (иным интернет-ресурсом Банка) требуется предоставление Оператору персональных данных и (или) регистрация на сайте (ином интернет-ресурсе Банка);
   • сайт Банка – интернет ресурс Банка: онлайн-адрес URL (Uniform Resource Locator/унифицированный указатель ресурса) https://belgazprombank.by/;
   • контрагент – юридическое или физическое лицо, в том числе индивидуальный предприниматель, имеющее намерение заключить, заключающее или заключившее гражданско-правовой договор с Банком;
   • представитель контрагента – представитель юридического лица или индивидуального предпринимателя, имеющего намерение заключить, заключающего или заключившего гражданско-правовой договор с Банком;
   • иной представитель юридического лица – физическое лицо, представляющее интересы юридического лица: владельцы, учредители, акционеры или участники, лица, входящие в органы управления, лица, действующие от имени или в интересах юридического лица или индивидуального предпринимателя (на основании доверенности или без нее, в том числе указанные в карточке с образцами подписей), за исключением клиентов, контрагентов и их представителей;
   • подрядчик – физическое лицо, имеющее намерение заключить гражданско-правовой договор подряда с Банком как заказчиком на определенную работу, услугу, или заключающее, или заключившее и исполняющее договор подряда (выполнения работ, оказания услуг), или ранее исполнившее договор подряда с Банком как заказчиком;
   • работник – физическое лицо, состоящее в трудовых отношениях с Банком на основании заключенного трудового договора (контракта);
   • бывший работник – физическое лицо, ранее состоявшее с Банком в трудовых отношениях;
   • кандидат на трудоустройство – физическое лицо, имеющее намерение предоставить, или предоставляющее, или предоставившее свои персональные данные (в виде анкеты кандидата, резюме или иным образом) для целей трудоустройства в Банк, а равно персональные данные которого собирает и обрабатывает Банк в тех же целях;
   • обучающийся – физическое лицо, проходящее обучение в учреждении образования и направляемое для прохождения практики в Банке, или проходящее практику, или проходившее практику в Банке;
   • посетитель – физическое лицо, посещающее Банк (его помещения и территории), в отношении которого осуществляются мероприятия по обеспечению пропускного (внутриобъектового) режима;
   • иное лицо, обратившееся в Банк, – физическое лицо, направившее в Банк обращение (заявление, предложение, жалобу), изложенное в письменной, электронной или устной форме;
   • субъекты персональных данных:
   • клиенты;
   • представители клиентов - субъектов хозяйствования;
   • законные представители;
   • наследники, близкие родственники, усыновители (удочерители), усыновленные (удочеренные), супруг (супруга) умершего клиента;
   • пользователи сайта;
   • контрагенты (физические лица, в том числе индивидуальные предприниматели);
   • представители контрагентов;
   • иные представители юридических лиц;
   • подрядчики;
   • работники;
   • бывшие работники;
   • члены семей и родственники работников;
   • кандидаты на трудоустройство;
   • члены семей и родственники кандидатов на трудоустройство;
   • обучающиеся;
   • посетители;
   • иные лица, обратившиеся в Банк.

7. Юридическим лицом, которое осуществляет обработку персональных данных, является ОАО «Белгазпромбанк», юридический и почтовый адрес: 220121, г. Минск, ул. Притыцкого, д. 60/2 (Банк/Оператор).
8. Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает Банк.
9. Во исполнение требований пункта 4 статьи 17 Закона о защите персональных данных настоящая Политика является общедоступным документом, размещается для свободного доступа в офисах Банка, а также публикуется в сети Интернет на сайте Банка и предусматривает возможность ознакомления с ней любых лиц.
10. Банк как Оператор вправе при необходимости в одностороннем порядке вносить в настоящую Политику изменения и дополнения с последующим размещением новой редакции Политики в общедоступном месте в Банке и на сайте Банка. Субъекты самостоятельно получают в Банке и на сайте Банка информацию об изменениях настоящей Политики.
11. Настоящая Политика распространяет действие на обработку персональных данных субъектов персональных данных, указанных в пункте 6 настоящей Политики.
12. Требования Закона о защите персональных данных и настоящей Политики обязательны для исполнения всеми работниками и иными лицами, непосредственно осуществляющими обработку персональных данных.

ГЛАВА 2
ПРИНЦИПЫ, ЦЕЛИ, ОБЪЕМ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

13. Принципы обработки персональных данных в Банке:
    1. обработка персональных данных осуществляется в соответствии с Законом о защите персональных данных и иными актами законодательства;
    2. обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
    3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами. В случае обработки персональных данных без согласия субъекта персональных данных цели обработки персональных данных устанавливаются Законом о защите персональных данных и иными законодательными актами;
    4. в случае необходимости изменения первоначально заявленных целей обработки персональных данных Оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами;
    5. обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
    6. Оператор обязан принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
    7. хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
14. Цели обработки персональных данных в Банке основываются на требованиях законодательства, осуществляемой Банком деятельности, реализуемых процессах.
15. Банк осуществляет обработку персональных данных субъектов персональных данных в целях, объеме, на правовых основаниях и в сроки, определенные в реестре обработки персональных данных применительно к каждой категории субъектов персональных данных согласно приложению.
16. Обработка персональных данных ограничивается достижением конкретных, заранее определенных в настоящей Политике законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
17. Содержание и объем обрабатываемых персональных данных, а также сроки обработки должны соответствовать заявленным целям обработки, предусмотренным в реестре обработки персональных данных согласно приложению.

ГЛАВА 3
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ

18. Обработка персональных данных Оператором:
    • осуществляется в соответствии с требованиями законодательства Республики Беларусь с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных на законной и справедливой основе;
    • ограничивается достижением конкретных, заранее определенных и законных целей, установленных главой 2 настоящей Политики.
    • При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
    • Оператором принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных.

19. При обработке персональных данных Оператором не допускаются:
    • обработка персональных данных, несовместимая с целями обработки персональных данных, установленными главой 2 настоящей Политики, в том числе в реестре обработки персональных данных;
    • объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
    • избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

20. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами (при наличии иных правовых оснований обработки).
21. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Согласие может предоставляться субъектом:
    1. в письменной форме путем собственноручного подписания согласия по форме, разрабатываемой Банком в соответствии с нормами законодательства;
    2. в иной электронной форме посредством проставления субъектом персональных данных соответствующей отметки, подтверждающей согласие, на сайте Банка (ином интернет-ресурсе).
22. Субъект персональных данных при даче своего согласия Оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность, с учетом следующего: если цели обработки персональных данных не требуют обработки всей перечисленной информации, эта информация не подлежит обработке Оператором при получении согласия субъекта персональных данных.
23. В соответствии со статьей 6 Закона о защите персональных данных согласие субъекта персональных данных на обработку персональных данных, за исключением специальных персональных данных, порядок обработки которых установлен статьей 8 Закона о защите персональных данных, не требуется:
    • для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
    • для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
    • в целях осуществления контроля (надзора) в соответствии с законодательными актами;
    • при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
    • для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
    • при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
    • в целях назначения и выплаты пенсий, ежемесячного денежного содержания отдельным категориям государственных служащих, пособий;
    • в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
    • при получении персональных данных Оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
    • при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
    • в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
    • в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
    • в случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

24. В соответствии со статьей 8 Закона о защите персональных данных обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, когда согласие субъекта персональных данных на обработку специальных персональных данных не требуется:
    • если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
    • при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
    • в целях назначения и выплаты пенсий;
    • для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов, совершения исполнительной надписи, оформления наследственных прав;
    • для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
    • в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
    • для осуществления административных процедур;
    • в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
    • в случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.

25. Оператор при обработке специальных персональных данных обеспечивает принятие комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
26. В случае смерти субъекта персональных данных, объявления его умершим, согласие на обработку его персональных данных дают один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
27. В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста шестнадцати лет (за исключением вступления в брак до достижения возраста шестнадцати лет) согласие на обработку его персональных данных дает один из его законных представителей. Законодательными актами может быть предусмотрен иной возраст несовершеннолетнего, до достижения которого согласие на обработку его персональных данных дает один из его законных представителей.
28. Лица, указанные в пунктах 26 и 27 настоящей Политики, в случае дачи согласия на обработку персональных данных вместо субъекта персональных данных пользуются правами субъекта персональных данных, предусмотренными Законом о защите персональных данных.
29. Субъект персональных данных, в том числе когда обработка персональных данных осуществляется Оператором без его согласия, имеет право знать, как и для каких целей его персональные данные собираются, используются, представляются или иным образом обрабатываются, получать иную информацию, касающуюся обработки его персональных данных.
30. Обработка персональных данных в Банке осуществляется работниками Банка, а также иными лицами, допущенными к обработке персональных данных в Банке в установленном порядке.
31. Работники Банка и иные лица, непосредственно осуществляющие обработку персональных данных, обязаны выполнять требования законодательства о защите персональных данных и локальных правовых актов Банка в сфере обеспечения защиты персональных данных.
32. Банк вправе поручить обработку персональных данных уполномоченному лицу на основании договора, акта законодательства либо решения государственного органа, при этом:
    • уполномоченное лицо обязано соблюдать требования к обработке персональных данных, предусмотренные Законом о защите персональных данных и иными актами законодательства;
    • ответственность перед субъектом персональных данных за действия уполномоченного лица несет Банк как Оператор;
    • уполномоченное лицо несет ответственность перед Банком как Оператором.

33. Перечень уполномоченных лиц размещается в свободном доступе на сайте Банка.
34. Обработка персональных данных Банком осуществляется путем:
    • получения персональных данных в устной или письменной форме непосредственно от субъектов персональных данных, посредством использования систем дистанционного банковского обслуживания Банка;
    • получения и обработки персональных данных при пользовании субъектом персональных данных сайтом Банка (иными интернет-ресурсами Банка);
    • получения персональных данных от третьих лиц в порядке, установленном законодательством, а также в соответствии с договорами;
    • получения персональных данных из общедоступных источников;
    • обработки персональных данных в информационных ресурсах (системах), базах данных, реестрах, журналах и других документах Банка;
    • использования иных предусмотренных законодательством способов обработки персональных данных.

35. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
36. Передача персональных данных государственным органам и организациям, в том числе правоохранительным органам и судам, а также иным организациям и учреждениям осуществляется в соответствии с требованиями законодательства Республики Беларусь (с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами (при наличии иных правовых оснований обработки)).
37. Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Банком:
    1. если на территории иностранного государства[1] обеспечивается надлежащий уровень защиты прав субъектов персональных данных – без ограничений при наличии правовых оснований, предусмотренных Законом о защите персональных данных;
    2. если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных – в случаях, предусмотренных статьей 9 Закона о защите персональных данных, когда:
       • дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
       • персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
       • персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
       • получено соответствующее разрешение Национального центра защиты персональных данных (далее – НЦЗПД).

38. Оператор осуществляет обработку, в том числе хранение персональных данных, не дольше, чем этого требуют цели обработки персональных данных, в сроки, установленные главой 2 настоящей Политики. Определенный срок обработки персональных данных может быть установлен законодательством Республики Беларусь, договором, согласием субъекта персональных данных.
39. Обработка персональных данных прекращается при наступлении одного или нескольких из указанных событий (если отсутствуют иные правовые основания для обработки, предусмотренные Законом о защите персональных данных и иными законодательными актами):
    • поступление от субъекта персональных данных в установленном порядке отзыва согласия на обработку его персональных данных;
    • поступление от субъекта персональных данных в установленном порядке требования о прекращении обработки его персональных данных и (или) их удалении;
    • достижение целей обработки персональных данных;
    • истечение срока действия согласия субъекта персональных данных;
    • истечение срока хранения персональных данных;
    • обнаружение неправомерной обработки персональных данных;
    • по требованию НЦЗПД;
    • прекращение деятельности Банка.

40. Хранение персональных данных осуществляется Оператором в соответствии с требованиями законодательства о защите персональных данных до достижения целей обработки персональных данных в сроки, установленные главой 2 настоящей Политики, а при даче субъектом согласия на обработку персональных данных – в сроки, указанные в данном согласии. При этом:
    • документы на бумажных и иных материальных носителях, содержащие персональные данные, хранятся в помещениях и местах, позволяющих исключить к ним доступ посторонних лиц;
    • персональные данные в электронной форме хранятся в информационных системах Банка с обязательным использованием паролей доступа и разграничением доступа.

41. Документы на бумажных и иных материальных носителях, содержащие персональные данные, а также персональные данные в электронной форме после прекращения обработки персональных данных уничтожаются/удаляются (блокируются) в соответствии с требованиями законодательства о защите персональных данных, иными актами законодательства и локальными правовыми актами Банка.

[1] Перечень стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14.

ГЛАВА 4
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА ПО ИХ РЕАЛИЗАЦИИ

42. Субъект персональных данных имеет право:
    1. в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
    2. требовать бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами;
    3. получать информацию, касающуюся обработки своих персональных данных (при этом не должен обосновывать свой интерес к запрашиваемой информации), содержащую:
       • наименование и место нахождения Банка;
       • подтверждение факта обработки персональных данных Банком (уполномоченным им лицом);
       • его персональные данные и источник их получения;
       • правовые основания и цели обработки персональных данных;
       • срок, на который дано его согласие;
       • наименование и место нахождения уполномоченного лица, которое является государственным органом, иной организацией, если обработка персональных данных поручена такому лицу;
       • иную информацию, предусмотренную законодательством;
    4. требовать внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными (с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные);
    5. получать информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.

43. Субъект персональных данных также имеет право обжаловать действия (бездействие) и принятые Банком решения, нарушающие его права при обработке персональных данных, в НЦЗПД как уполномоченном органе по защите прав субъектов персональных данных в порядке, установленном законодательством; принятое НЦЗПД по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суде в порядке, установленном законодательством.
44. Субъект персональных данных для реализации прав, предусмотренных статьями 10 – 13 Закона о защите персональных данных и пунктом 42 настоящей Политики, подает в Банк заявление в письменной форме либо в виде электронного документа, оформленное в соответствии со статьей 14 Закона о защите персональных данных, в том числе путем направления заявления на почтовый адрес: 220121, г. Минск, ул. Притыцкого, д. 60/2. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления Оператору в письменной форме.

Для реализации прав, предусмотренных пунктом 42.1. настоящей Политики, субъект персональных данных также может подать заявление в электронном виде по форме, посредством которой получено его согласие.

45. Заявление субъекта персональных данных о реализации его прав должно содержать:
    • фамилию, собственное имя, отчество (если таковое имеется), адрес его места жительства (места пребывания), дату рождения, идентификационный номер (при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных);
    • изложение сути его требований;
    • его личную подпись либо электронную цифровую подпись.

46. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Банке, направив сообщение на электронный адрес: dpo@bgpb.by.

47. Ответ на заявление субъекта персональных данных о реализации его прав, предусмотренных пунктом 42 настоящей Политики, направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

48. Работники Банка, непосредственно осуществляющие обработку персональных данных, обязаны на основании поданного субъектом персональных данных:
    1. заявления об отзыве своего согласия на обработку персональных данных в пятнадцатидневный срок после получения заявления:
       • в соответствии с содержанием заявления прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о защите персональных данных и иными законодательными актами;
       • при отсутствии технической возможности удаления персональных данных принять меры по недопущению их дальнейшей обработки, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок;
    2. заявления, содержащего требования о бесплатном прекращении обработки своих персональных данных, включая их удаление, в пятнадцатидневный срок после получения заявления:
       • прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных;
       • при отсутствии технической возможности удаления персональных данных принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
       • Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
    3. заявления о получении информации, касающейся обработки персональных данных, в течение пяти рабочих дней после его получения, если иной срок не установлен законодательными актами, предоставить субъекту персональных данных в доступной форме эту информацию, либо уведомить его о причинах отказа в ее предоставлении; информация, указанная в подпункте 42.3 настоящей Политики, не предоставляется субъекту персональных данных в случаях, предусмотренных пунктом 3 статьи 11 Закона о защите персональных данных;
    4. заявления, содержащего требования о внесении изменений в свои персональные данные, в пятнадцатидневный срок после его получения внести соответствующие изменения в персональные данные и уведомить об этом субъекта персональных данных либо уведомить его о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;
    5. заявления о получении информации о предоставлении своих персональных данных третьим лицам в пятнадцатидневный срок после его получения предоставить субъекту персональных данных информацию о том, какие его персональные данные и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении; указанная информация может не предоставляться в случаях, предусмотренных пунктом 3 статьи 11 Закона о защите персональных данных, а также если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции.

ГЛАВА 5
ОБЯЗАННОСТИ ОПЕРАТОРА И МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

49. Оператор обязан:
    1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
    2. получать согласие субъекта персональных данных на их обработку, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами (при наличии иных правовых оснований обработки);
    3. до получения согласия субъекта персональных данных в письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставить субъекту персональных данных информацию, содержащую:
       • наименование и место нахождения Оператора, получающего согласие субъекта персональных данных;
       • цели обработки персональных данных;
       • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
       • срок, на который дается согласие субъекта персональных данных;
       • информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
       • перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых Оператором способов обработки персональных данных;
       • иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных;
    4. до получения согласия субъекта персональных данных простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия; эта информация должна быть предоставлена Оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации;
    5. обеспечивать защиту персональных данных в процессе их обработки;
    6. в случае необходимости изменения первоначально заявленных целей обработки персональных данных получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами;
    7. принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
    8. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
    9. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
    10. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
    11. принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
    12. обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к настоящей Политике до начала обработки персональных данных;
    13. уведомлять НЦЗПД о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных НЦЗПД;
    14. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию НЦЗПД, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
    15. исполнять иные требования НЦЗПД об устранении нарушений законодательства о персональных данных;
    16. предоставлять НЦЗПД информацию, необходимую для определения законности действий Операторов (уполномоченных лиц);
    17. выполнять иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.

50. Оператор определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона о защите персональных данных и иных актов законодательства.
51. Обязательными мерами по обеспечению защиты персональных данных являются:
    1. назначение Оператором структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
    2. издание Оператором настоящей Политики;
    3. ознакомление работников Банка как Оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, настоящей Политикой и иными локальными правовыми актами Банка, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
    4. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационных ресурсах (системах);
    5. осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

ГЛАВА 6
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

52. Лица, виновные в нарушении положений законодательства о защите персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность, предусмотренную законодательными актами.
53. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом о защите персональных данных, подлежит возмещению при наличии вступившего в законную силу решения суда. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

ГЛАВА 7
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

54. Вопросы обработки персональных данных, не предусмотренные настоящей Политикой, регулируются Законом о защите персональных данных и иным законодательством Республики Беларусь.

Исполнительный директор А.П.Жукович