Работа с персональными данными

1. ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ О здравоохранении.

           https://pravo.by/document/?guid=3871&p0=v19302435

2. ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ Об информации, информатизации и защите информации

           https://pravo.by/document/?guid=3871&p0=H10800455

3. ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ О защите персональных данных

           https://pravo.by/upload/docs/op/H12100099_1620939600.pdf

4. ПОСТАНОВЛЕНИЕ МИНИСТЕРСТВА ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ БЕЛАРУСЬ О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента

            https://pravo.by/upload/docs/op/W22136940_1626123600.pdf

ПОЛИТИКА

учреждения здравоохранения «14-я городская детская клиническая поликлиника» в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика обработки персональных данных в учреждении здравоохранения «14-я городская детская клиническая поликлиника» в отношении обработки персональных данных разработана во исполнение требований п. 3 статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» (далее — Закон о защите персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатываются учреждением здравоохранения «14-я городская детская клиническая поликлиника» (далее — Учреждение, Оператор).

Требования настоящей Политики обязательны для исполнения всеми работниками Учреждения, получившими в установленном порядке доступ к персональным данным.

Работники Учреждения несут персональную ответственность за обработку персональных данных, выполнение работниками требований законодательства Республики Беларусь и локальных правовых актов (далее — ЛПА) Учреждения в области обработки персональных данных.

Действие настоящей Политики не распространяется на отношения, касающиеся случаев обработки персональных данных:

• физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного использования, не связанного с профессиональной или предпринимательской деятельностью;
• отнесенных в установленном порядке к государственным секретам.

1.3. При внесении изменений в акты законодательства, а также в случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящей Политикой, необходимо руководствоваться такими изменениями, иными нормативными правовыми актами до внесения соответствующих изменений в Политику.

1.4. Политика составлена в соответствии с законодательством Республики Беларусь и определяет принципы, цели, условия и способы обработки персональных данных, перечень субъектов персональных данных и обрабатываемых персональных данных, функции Учреждения при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Учреждении требования к защите персональных данных.

1.5. Положения настоящей Политики служат основой для разработки локальных правовых актов, регламентирующих в Учреждении вопросы обработки, защиты, обеспечения конфиденциальности персональных данных.

1.6. Политика в отношении обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами:

• Конституция Республики Беларусь;
• Трудовой кодекс Республики Беларусь;
• Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
• Закон Республики Беларусь от 21.07.2008 № 418-3 «О регистре населения»;
• Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
• постановление Министерства здравоохранения Республики Беларусь от 28.05.2021 № 64 «Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь»;
• Постановление Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента» (вместе с Инструкцией о формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных, информации, составляющей врачебную тайну, отказа от их внесения и обработки и порядке информирования о праве на отказ от внесения информации, составляющей врачебную тайну, в централизованную информационную систему здравоохранения);
• иные нормативные и правовые акты Республики Беларусь и нормативные документы, уполномоченных органов государственной власти.
• Приказы национального центра защиты персональных данных Республики Беларусь;
• иные нормативные правовые акты Республики Беларусь, нормативные документы уполномоченных органов государственной власти и международные договоры.

1.7. Во исполнение требований пункта 4 статьи 17 Закона «О защите персональных данных» настоящая Политика публикуется на официальном сайте Учреждения (Оператора) www.14gdkp.by.

Оператор обеспечивает свободный и неограниченный доступ к сайту и поддерживает Политику в актуальном состоянии. При внесении Оператором существенных изменений в Политику, изменения доводятся до субъектов персональных данных заблаговременно и до вступления в силу таких изменений.

1.8. Первичная профсоюзная организация учреждения здравоохранения «14-я городская детская клиническая поликлиника» Белорусского профессионального союза работников (далее — Профсоюз) самостоятельно определяет порядок обработки персональных данных и обеспечивает защиту персональных данных, предоставляемых работниками, которые являются членами Профсоюза и считается оператором таких персональных данных, Учреждение оказывает Профсоюзу необходимую помощь по защите персональных данных. Профсоюз издает свой локальный правовой акт, определяющий порядок обработки и защиты персональных данных членов Профсоюза.

1.9. На территории Учреждения действует система видеонаблюдения с целью:

• охраны объектов и имущества Учреждения;
• незаконного проникновения посторонних лиц, животных или чужеродных предметов, аппаратов на объект Учреждения;
• контроль за перемещением материальных ценностей по территории Учреждения;
• противодействия коррупции;
• обеспечения исполнительской и трудовой дисциплины;
• защиту работников Учреждения от необоснованных жалоб на их действия;
• предотвращения причинения вреда здоровью работникам и посетителям Учреждения, пресечения хищений и иных правонарушений.

О видеонаблюдении работники и посетители Учреждения оповещаются с помощью специальных информационных листах (табличек), размещенных на территории, где оно ведется установленного типа на видных местах.

Система видеонаблюдения является открытой, ведется с целью обеспечения безопасности сотрудников и посетителей организации и не может быть направлена на сбор информации о конкретном человеке.

Видеонаблюдение не используется в местах, которые являются частью наиболее личной сферы жизни работников, в том числе предназначенных для их личных нужд, включая отдых и общение работников.

Сотрудникам поликлиники и посетителям запрещается загораживать, закрывать видеокамеры или каким-либо иным способом препятствовать системе видеонаблюдения.

Видеонаблюдение не включает в себя аудиомониторинг (запись голоса), кроме исключительных ситуаций при необходимости принятия мер безопасности, о которых работники должны быть проинформированы.

2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

2.2. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);

2.3. Генетические персональные данные — информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;

2.4. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

2.5. Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных;

2.6. Оператор персональных данных — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, — физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;

Оператор персональных данных (далее — Оператор) — учреждение здравоохранения «14-я городская детская клиническая поликлиника», расположенное по адресу: 220019, г.Минск, ул.Сухаревская, д.40; адрес в сети Интернет: https://14gdkp.by /; e-mail: info@14gdkp.by;

Сайт (веб-сайт) — совокупность графических и информационных материалов, текстов, дизайна, видеоматериалов и иных результатов интеллектуальной деятельности оператора, а также программ для ЭВМ, обеспечивающих их доступность в сети Интернет по сетевому адресу https://14gdkp.by.

Пользователь — любой посетитель сайта https://14gdkp.by.

2.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

Обработка персональных данных включает в себя в том числе:

• сбор;
• систематизацию;
• хранение;
• изменение;
• использование;
• распространение;
• предоставление;
• обезличивание;
• блокирование;
• удаление.

2.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

2.9. Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц;

2.10. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

2.11. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства;

2.12. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.13. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

2.14. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления;

2.15. Защита персональных данных — комплекс правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;

2.16. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники (автоматизации);

2.17. Информация — сведения (сообщения, данные) независимо от формы их представления;

2.18. Уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;

2.19. Уполномоченный орган — Национальный центр защиты персональных данных Республики Беларусь;

2.20. Физическое лицо, которое может быть идентифицировано — физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;

2.21. Контрагент — сторона гражданско-правового договора, в том числе физическое или юридическое лицо, индивидуальный предприниматель, выступающие одной из сторон сделки.

3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных в Учреждении осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Учреждения и иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

• обработка персональных данных осуществляется на законной и справедливой основе и в соответствии с актами законодательства, конституционности и гласности;
• обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
• обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
• обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• обработка персональных данных носит прозрачный характер. Субъекту персональных данных в порядке и на условиях, установленных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
• Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом о защите персональных данных;
• персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
• обеспечивается принятие необходимых и достаточных мер по защите персональных данных от неправомерного (несанкционированного или случайного) доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий.

3.2. Персональные данные обрабатываются в Учреждении в следующих целях:

• обеспечение соблюдения Конституции, законодательства Республики Беларусь, локальных правовых актов Учреждения;
• осуществление гражданско-правовых отношений;
• защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
• ведения переговоров, подготовки, заключения, исполнения и прекращения договоров с контрагентами;
• выполнение функций, полномочий и обязанностей, возложенных законодательством на Учреждение, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
• обеспечение пропускного и внутриобъектового режимов на объектах Учреждения;
• формирование справочных материалов для внутреннего информационного обеспечения деятельности Учреждения;
• исполнение судебных актов, актов государственных органов и иных организаций, а также должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
• реализация социальной политики Учреждения в области жилищных отношений (постановка (восстановление, снятие) на учет нуждающихся в улучшении жилищных условий, постановка на учет (восстановление, снятие) желающих получить жилое помещение в общежитии, арендное жилье и другие жилищные правоотношения), выдача справок о состоянии на учете нуждающихся в улучшении жилищных условий, культурно-массовой и физкультурно-оздоровительной работы, предоставления путевок в оздоровительные и санаторно-курортные учреждения, детские лагеря, страхование.
• ведения и обеспечения бухгалтерского учета;
• выдачи доверенностей и иных уполномочивающих документов;
• выявление конфликта интересов;
• подтверждение достоверности и полноты персональных данных, предоставленных пользователем (в случае необходимости);
• регулирование трудовых отношений с работниками Учреждения (содействие в трудоустройстве, обучение, ведение кадрового резерва, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и материальных ценностей);
• предоставление доступа пользователю к сервисам, информации и (или) материалам, содержащимся на сайте https://14gdkp.by;
• реализация прав и законных интересов Учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Учреждения, либо достижения общественно значимых целей;
• в иных законных целях.

4. УСЛОВИЯ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.

4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных (их законных представителей) на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.

4.3. Оператор осуществляет автоматизированную, неавтоматизированную и смешанную обработку персональных данных.

4.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

4.5. Оператор осуществляет следующие действия с персональными данными: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление.

4.6. Источником получения персональных данных являются:

• получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных или их законных представителей;
• получение персональных данных из общедоступных источников;
• получение персональных данных из документов, адресованных Оператору.

4.7. Учреждение без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет их персональные данные, если иное не предусмотрено законодательством Республики Беларусь.

4.8. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.

4.9. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные правовые акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных и за организацию технической и криптографической защиты персональных данных, поступающих Оператору;
• создает необходимые условия для работы с персональными данными;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников, осуществляющих обработку персональных данных.

4.10. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.

4.11. Оператор вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.

Договор должен содержать:

• цели обработки персональных данных;
• перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
• обязанности по соблюдению конфиденциальности персональных данных;
• меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.

4.12. В целях внутреннего информационного обеспечения, Учреждение может создавать внутренние справочные материалы и другие источники, в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его персональные данные.

4.13. Доступ к обрабатываемым Учреждении персональным данным разрешается только работникам Учреждения, занимающим должности, включенные в перечень должностей Учреждения и с целью выполнения должностных обязанностей.

4.14. В случае нарушения систем защиты персональных данных, Оператор обязан уведомить о нарушениях Национальный центр защиты Персональных данных.

5. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.

Субъекты персональных данных	Обязанности Оператора (Учреждения)
1. Вправе в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном ст. 14 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» либо в форме, посредством которой получено его согласие. Отзыв согласия субъекта персональных данных не имеет обратной силы, обработка персональных данных до ее прекращения в соответствии с частью первой п.2 ст.10 Закона о защите персональных данных не является незаконной.	1. Обязан в 15-дневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о защите персональных данных и иными законодательными актами. 2. При отсутствии технической возможности удаления персональных данных Оператор принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомление об этом субъекта персональных данных в тот же срок.
2. Имеют право на получение информации, касающейся обработки персональных данных, содержащей наименование и место нахождения Оператора, подтверждение факта обработки персональных данных Оператором (уполномоченным лицом), их персональные данные и источник их получения, правовые основания и цели обработки персональных данных, срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия). Для получения информации, субъект персональных данных подает Оператору заявление в соответствии со статьей 14 Закона о защите персональных данных. Субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации.	2. Обязан в течение 5-ти рабочих дней после получения соответствующего заявления субъекта персональных данных предоставить ему в доступной форме информацию либо уведомить его о причинах отказа в ее предоставлении. Информация может не предоставляться в случаях, предусмотренных п.3 ст.11 Закона о защите персональных данных, а также если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции.
3. Вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.	3. Обязан в 15-дневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить его о причинах отказа во внесении таких изменений.
4. Вправе получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно.	4. Обязан в 15-дневный срок после получения заявления субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъект персональных данных о причинах отказа в ее предоставлении. Информация может не предоставляться в случаях, предусмотренных п.3 ст.11 Закона о защите персональных данных, а также если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции.
5. Вправе требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных. Для реализации указанного права субъект персональных данных подает Оператору заявление в порядке, установленном статьей 14 Закона о защите персональных данных.	5. Обязан в 15-дневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также осуществить их удаление и уведомить об этом субъекта персональных данных. При отсутствии технической возможности удаления персональных данных Оператор принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомление об этом субъекта персональных данных в тот же срок. Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иных законодательных актов, если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.
6. Вправе обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.	6. Разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных. 7. Получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами. 8. Обеспечивать защиту персональных данных в процессе их обработки. 9. Уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3-х рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных.

5.2. Субъект персональных данных для реализации вышеуказанных прав подает Оператору заявление в письменной форме либо в виде электронного документа (а в случае реализации права на отзыв согласия — также в форме, в которой такое согласие было получено).

Заявление, поданное в форме электронного документа должно быть подписано электронной цифровой подписью, в соответствии с законодательством Республики Беларусь.

В предоставляемые Оператором сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.

Заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера — номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

Учреждение не рассматривает заявления субъектов персональных данных, направленные иными способами (e-mail, телефон, факс и т.п).

За содействием в реализации прав субъект персональных данных может также обратиться к специалисту по внутреннему контролю за обработкой персональных данных Учреждения.

В случае выявления неправомерной обработки персональных данных при получении заявления субъекта персональных данных либо запроса уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения заявления (запроса).

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат удалению, если иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных или законодательством.

5.3. Субъект персональных данных обязан:

• представлять Оператору достоверные персональные данные;
• своевременно сообщать Оператору об изменениях и дополнениях своих персональных данных;
• осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Оператора в области обработки и защиты персональных данных;
• исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Оператора в области обработки и защиты персональных данных.

6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

6.1. Оператор вправе:

• устанавливать правила обработки персональных данных, поступающих Оператору, вносить изменения и дополнения в Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;
• осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами в области обработки и защиты персональных данных.

6.2. Оператор обязан:

• разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
• получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом Республики Беларусь от 07.05.2021 №99-3 «О защите персональных данных» и иными законодательными актами;
• обеспечивать защиту персональных данных в процессе их обработки;
• представлять субъекту персональных данных информацию о его персональных данных, а также о представлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и иными законодательными актами;
• вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными; за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
• прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и иными законодательными актами;
• уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных не позднее 3-х рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
• осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию Национального центра защиты персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
• исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
• исполнять иные обязанности, предусмотренные Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и иными законодательными актами.

7. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В УЧРЕЖДЕНИИ

7.1. В Учреждении обрабатываются персональные данные следующих категорий субъектов:

• работники Учреждения, бывшие работники, кандидаты на занятие вакантных должностей;
• пациенты Учреждения и их законные представители;
• контрагенты Учреждения, являющиеся физическими лицами;
• представители и (или) работники контрагентов Учреждения, являющихся юридическими лицами или индивидуальными предпринимателями;
• посетители сайта Учреждения;
• лица, предоставившие Учреждению персональные данные путем отправки отзывов, обращений и т.д.;
• другие субъекты персональных данных.

7.2. Обработка Учреждением биометрических персональных данных осуществляется в соответствии с законодательством Республики Беларусь.

7.3. Учреждением не осуществляется обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, состояния здоровья, интимной жизни, привлечения к административной или уголовной ответственности, за исключением случаев, когда субъект персональных данных самостоятельно предоставил такие данные учреждению, либо они стали известны Учреждению в соответствии с законодательством Республики Беларусь.

8. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Персональные данные в Учреждении обрабатываются следующим способом:

• с использованием средств автоматизации;
• без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
• смешанная обработка, с использованием средств автоматизации, так и без использования средств автоматизации, в том числе с использованием внутренней сети и сети Интернет.

8.2. Не распространяется на отношения, касающиеся случаев обработки персональных данных:

• физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью;
• отнесенных в установленном порядке к государственным секретам.

9. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ НА САЙТЕ УЧРЕЖДЕНИЯ

9.1. На сайте Учреждения происходит сбор и обработка обезличенных данных о посетителях (в том числе cooki-файлов).

Учреждение осуществляет обработку персональных данных в течение срока использования пользователем функционала сайта.

9.2. Обработка персональных данных прекращается при наступлении одного или нескольких из указанных событий:

• поступил отзыв согласия на обработку его персональных данных в порядке, установленном настоящей Политикой (за исключением случаев, предусмотренных действующим законодательством);
• достигнуты цели их обработки;
• истек срок действия согласия субъекта;
• обнаружена неправомерная обработка персональных данных;
• прекращена деятельность Учреждения.

10. ФУНКЦИИ ОПЕРАТОРА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Учреждение — Оператор при обработке персональных данных:

• принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов Учреждения в области персональных данных;
• принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
• назначает лицо, ответственное за осуществление внутреннего контроля по защите персональных данных;
• издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных;
• ознакомляет работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Учреждения в области персональных данных, в том числе требованиям к защите персональных данных;
• публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
• сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (ИЛИ) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
• прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством в области персональных данных;
• совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.

11. ВНУТРЕННИЙ КОНТРОЛЬ

11.1. Контроль за соблюдением всеми сотрудниками Учреждения законодательства Республики Беларусь и локальных правовых актов Учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в Учреждении законодательству Республики Беларусь и локальным правовым актам Учреждения в области персональных данных, в том числе требованиям к защите персональных данных, а также принятии мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

11.2. Организация работы по осуществлению внутреннего контроля за обработкой персональных данных возлагается на специалиста по контролю в работе с персональными данными.

11.3. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов Учреждения в области персональных данных в учреждении, а также за обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях Учреждения возлагается на руководителей структурных подразделений.

Учреждение при необходимости в одностороннем порядке вносит в настоящую Политику соответствующие изменения с последующим их размещением на сайте Учреждения. Субъекты персональных данных и пользователи самостоятельно получают на сайте информацию об изменениях.

12. ОТВЕТСТВЕННОСТЬ

Лица, виновные в нарушении Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных», несут ответственность, предусмотренную законодательными актами.

Работники и иные лица, виновные в нарушении настоящей Политики, а также законодательства Республики Беларусь в области персональных данных, могут быть привлечены к дисциплинарной и (или) материальной ответственности в порядке, установленном Трудовым кодексом Республики Беларусь, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Республики Беларусь:

Гражданско-правовая ответственность.

Субъект персональных данных может требовать возмещения имущественного вреда и понесенных убытков, а также морального вреда, причиненного нарушением его прав (п. 2. ст. 19. Закона о защите персональных данных; п. 8, 10 ст. 11 Гражданского кодекса Республики Беларусь).

Дисциплинарная ответственность.

Трудовой договор с работником можно прекратить в связи с нарушением им порядка обработки персональных данных. Увольнение как мера дисциплинарного взыскания по данному основанию возможно, если работник допустил нарушение при сборе персональных данных; их систематизации, хранении, изменении, использовании, обезличивании, блокировании, распространении, предоставлении; удалении (п. 10 ч. 1 ст. 47, п. 4 ч. 1 ст. 198 Трудового кодекса Республики Беларусь).

Административная ответственность

Состав административного правонарушения	Административная ответственность
Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных (ч. 1 ст. 23.7 КоАП)	Штраф до 50 базовых величин (далее — БВ)
Вышеуказанные действия, совершенные лицом, которому персональные данные известны в связи с профессиональной или служебной деятельностью (ч. 2 ст. 23.7 КоАП)	Штраф от 4 до 100 БВ
Умышленное незаконное распространение персональных данных физических лиц (ч. 3 ст. 23.7 КоАП)	Штраф до 200 БВ
Несоблюдение мер обеспечения защиты персональных данных физических лиц (ч. 4 ст. 23.7 КоАП)	Физическое лицо штраф от 2 до 10 БВ. Индивидуальный предприниматель - штраф от 10 до 20 БВ Юридическое лицо - штраф от 20 до 50 БВ
Нарушение требований законодательства по ограничению доступа пользователей интернет-услуг к информации, запрещенной к распространению в соответствии с законодательными актами	Индивидуальный предприниматель — штраф от 10 до 25 БВ Юридическое лицо — штраф от 10 до 25 БВ
Умышленное разглашение коммерческой или иной охраняемой законом тайны без согласия ее владельца лицом, которому коммерческая или иная охраняемая законом тайна известны в связи с его профессиональной или служебной деятельностью.	Штраф от 4 до 20 БВ

Уголовная ответственность

Состав преступления	Уголовная ответственность
Умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина (ч. 1 ст. 203-1 УК РБ)	Общественные работы, или штраф, или арест, или ограничение свободы на срок до 2-х лет, или лишение свободы на тот же срок
Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина (ч. 2 ст. 203-1 УК РБ)	Ограничение свободы на срок до 3-х лет или лишение свободы на тот же срок со штрафом
Вышеуказанные действия, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга (ч. 3 ст. 203-1 УК РБ)	Ограничение свободы на срок до 5-ти лет или лишение свободы на тот же срок со штрафом
Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий (ст. 203-2 УК РБ)	Штраф, или лишение права занимать определенные должности или заниматься определенной деятельностью, или исправительные работы на срок до одного года, или арест, или ограничение свободы до 2-х лет, или лишение свободы на срок до одного года