1. Настоящая Политика обработки персональных данных в открытом акционерном обществе «Светлогорский целлюлозно-картонный комбинат» (далее – Политика) разработана во исполнение требований абзаца третьего пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее - Закон), в целях обеспечения прозрачного характера обработки персональных данных и определения основных принципов, целей, условий и способов обработки персональных данных, субъектов обработки персональных данных и категорий обрабатываемых персональных данных, прав субъектов персональных данных, а также реализуемых требований к защите персональных данных.

2. Политика действует в отношении всех персональных данных, которые обрабатывает открытое акционерное общество «Светлогорский целлюлозно-картонный комбинат» (далее - Общество).

3. Политика разработана с учетом требований Конституции Республики Беларусь, Закона и иных актов законодательства.

4. В целях реализации положений Политики, в Обществе разрабатываются соответствующие локальные правовые акты.

5. Во исполнение требований пункта 4 статьи 17 Закона, настоящая Политика публикуется в свободном доступе в глобальной компьютерной сети Интернет на официальном сайте Общества www.sckk.by.

6. Для целей настоящей Политики нижеприведенные термины используются в следующих значениях:

-автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

-информационный ресурс (система) персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

-обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

-оператор – применительно к настоящей Политике под оператором понимается Общество;
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

-предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

-распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

-согласие субъекта персональных данных – свободное, однозначное, информированное выражение его воли, посредством которого он  разрешает обработку своих персональных данных. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме;

-специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

-субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;

-трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;

-удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

-уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением Общества, либо на основании договора с Обществом осуществляют обработку персональных данных от имени Общества или в его интересах.

7. Общество, являясь оператором, осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с Обществом в трудовых отношениях.

8. Обработка персональных данных осуществляется:
с учетом необходимости обеспечения защиты прав и свобод работников Общества,  других субъектов персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну;
на законной и справедливой основе;
соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами.

9. Обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.

10. Обрабатываемые персональные данные не должны являться избыточными по отношению к заявленным целям их обработки.

11. Обработка персональных данных носит прозрачный характер, при этом субъекту персональных данных предоставляется соответствующая информация, касающаяся обработки его персональных данных.

12. Общество принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.

13. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

14. Персональные данные обрабатываются в Обществе в целях:
- осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Общество, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- регулирования трудовых отношений с работниками Общества (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль дисциплины труда, количества и качества выполняемой работы, охраны труда, обеспечение сохранности имущества);
- привлечения и отбора кандидатов на работу, обработки информации (резюме) кандидата на трудоустройство;
- предоставления работникам Общества (в том числе бывшим) льгот и компенсаций;
- реализации социальной политики Общества в области жилищных отношений, культурно-массовой и физкультурно-оздоровительной работы, предоставления путевок в оздоровительные и санаторно-курортные учреждения, медицинского обслуживания, страхования, питания, предоставления мест в учреждениях дошкольного образования;
- организации и сопровождения деловых поездок;
- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- защиты жизни, здоровья или иных интересов субъектов персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с субъектами хозяйствования;
- обеспечения пропускного и внутриобъектового режимов на объектах Общества, обеспечения безопасности, сохранения материальных ценностей и предотвращения правонарушений;
- формирования справочных материалов для обеспечения возможности связи между работниками Общества;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- ведения бухгалтерского и налогового учета;
- осуществления прав и законных интересов Общества для исполнения требований локальных правовых актов.

Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.
 

Общество обрабатывает нижеприведенные персональные данные субъектов персональных данных, следующих категорий:

15.1. лиц, посещающих территорию Общества:
- фамилия, имя, отчество (если таковое имеется);
данные паспорта или иного документа, удостоверяющего личность;
- фото и видеоизображения, полученные с помощью систем видеонаблюдения, установленных на территории Общества;

15.2. работников Общества (в том числе бывших):
- фамилия, имя, отчество (если таковое имеется);
- пол;
- гражданство;
- дата и место рождения;
- фото и видеоизображения полученные с помощью систем видеонаблюдения, установленных на территории Общества;
- данные паспорта или иного документа, удостоверяющего личность;
- адрес регистрации по месту жительства и (или) месту пребывания;
- контактная информация;
- банковские реквизиты;
- сведения об образовании, специальности, квалификации, повышении квалификации, результатах оценки и аттестации, профессиональных знаниях и навыках, ученой степени и звании;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе наличие поощрений и (или) дисциплинарных взысканий;
- сведения о воинском учете;
- сведения об инвалидности;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства и (или) локальных правовых актов;

15.3. членов семьи работников Общества (в том числе бывших):
- фамилия, имя, отчество (если таковое имеется);
- степень родства;
- дата рождения;
- контактная информация;
- иные персональные данные, предоставляемые ими в соответствии с требованиями законодательства и (или) локальных правовых актов.

16. Обществом не осуществляется обработка специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.
 

Обработка персональных данных в Обществе осуществляется после принятия необходимых мер по их защите.

18. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными актами законодательства.
    До получения согласия субъекта персональных данных работник Общества, осуществляющий обработку персональных данных, обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена работником Общества субъекту персональных данных в письменной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

19. Письменное согласие субъекта персональных данных должно включать:
- фамилию, имя, отчество (если таковое имеется);
- дату рождения;
- идентификационный номер, а в случае отсутствия такого номера –номер документа, удостоверяющего личность;
- наименование и место нахождения Общества, его филиала (в случае если письменное согласие должно быть предоставлено в филиал);
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
- срок, в течение которого действует согласие;
- способ его отзыва;
- личную подпись субъекта персональных данных.

20. Без согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.

Общество имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных, Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе.

22. Оператор обязан:
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- получать согласие субъекта персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
- обеспечивать защиту персональных данных в процессе их обработки;
- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
- уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Обществу стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
- осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
- исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
- выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.

23. Субъект персональных данных имеет право:
- в любое время без объяснения причин отозвать свое согласие посредством подачи Обществу заявления в порядке, установленном главой 9 настоящей Политики. Общество обязано в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом и иными законодательными актами; 
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения устанавливается Законом;
- требовать от Общества уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
- требовать от Общества бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. Общество в этом случае, обязано в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных;
- обжаловать действия (бездействие) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

Уполномоченное лицо принимает  необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных  от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных и осуществляет обработку персональных данных от имени Общества или в его интересах в соответствии с требованиями Закона.  

25. Общество предоставляет персональные данные иным государственным органам (организациям) при наличии правовых оснований, установленных законодательством Республики Беларусь. 

26. Трансграничная передача персональных данных осуществляется Обществом для достижения целей их обработки в соответствии с требованиями законодательства. 

27. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
- такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
- получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
 

Общество, при осуществлении обработки персональных данных принимает следующие меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных:
- выполняет правовые, организационные и технические мероприятия по обеспечению защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных Общества;
- издает локальные правовые акты, определяющие настоящую Политику;
- осуществляет ознакомление работников Общества, непосредственно выполняющих обработку персональных данных, с положениями законодательства Республики Беларусь о персональных данных и локальных правовых актов в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
- прекращает обработку и производит удаление персональных данных в случаях, предусмотренных законодательством Республики Беларусь в области защиты персональных данных;
- осуществляет изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;
- при осуществлении автоматизированной обработки персональных данных, осуществляет техническую и криптографическую защиту персональных данных, в информационных ресурсах (системах), содержащих персональные данные;
- обеспечивает неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к настоящей Политике.

Субъект персональных данных для реализации своих прав подает Обществу заявление в письменной форме либо в виде электронного документа. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме. 

30. Заявление субъекта персональных данных должно содержать:
- фамилию, имя, отчество (если таковое имеется);
- адрес места жительства (места пребывания);
- дату рождения;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных; 
- изложение сути требований;
- личную подпись либо электронную цифровую подпись.

Контроль за соблюдением структурными подразделениями Общества требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях Общества, законодательству Республики Беларусь, локальным правовым актам в области защиты персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным.

32. Внутренний контроль за соблюдением структурными подразделениями Общества законодательства Республики Беларусь,  локальных правовых актов Общества в области защиты персональных данных, в том числе требований к защите персональных данных, осуществляется структурным подразделением, либо лицами, определяемыми приказом генерального директора Общества.