霍米丘克·帕维尔·帕夫洛维奇

电话：+375 1642 7 15 07

225861，白俄罗斯共和国，
布列斯特州，科布林区，希德林斯基村委会，22/5

白俄罗斯共和国
，布列斯特州，科布林区，佩斯基-2村

资源编号 - 213637
注册日期 - 2026年3月13日
资源地址 - brest-kolos.com
资源地址 - brest-kolos.by
资源所有者 - 市政单一制企业“科洛斯儿童康复健康中心”

部门负责人
Gordeychuk Maxim Igorevich
电话：+375 162 26 97 98

首席助理
Yushchuk Elena Viktorovna
电话：+375 162 26 98 00

集团负责人：
谢马什克维奇·加琳娜·彼得罗夫娜
电话：+375 162 26 98 01

首席经济学家：
库钦斯卡娅·娜塔莉娅·谢拉菲莫夫娜
电话：+375 162 26 98 02

热线电话：26 97 88，上午 8:30 至下午 1:00，下午 2:00 至下午 5:30；
电子邮箱：uo@brest-region.gov.by；
网站：https://brest-edu.gov.by
；地址：布列斯特，列宁大街 11 号

总局局长娜塔莉娅·阿纳托利耶夫娜·卡利诺夫斯卡娅，电话：26 97 87，办公室：105室，4楼（车站大楼）
每月第三个星期三上午8:00至下午1:00接待市民

总局第一副局长 SAVICH 塔季扬娜·阿列克谢耶夫娜 电话：26 97 89 办公室：105室（车站大楼四楼）
每月第一个星期三上午8:00至下午1:00接待市民

总局副局长伊琳娜·亚历山德罗夫娜·波波娃 电话：26 97 90 办公室：116室，4楼（车站大楼）
每月第二个星期三上午8:00至下午1:00接待市民

预约预登记由 Nadezhda Vladimirovna Sakharchuk 负责，
电话：26 97 88，办公室：103，4楼（车站大楼）。

市政单一企业
儿童康复和健康中心“Kolos”
（KUP“儿童康复和健康中心”“Kolos”）已批准
科洛斯儿童健康中心国营企业主任命令
自 2023 年 3 月 3 日起，第 75-P 号

运营方政策 2023年3月3日 第1号
科布林区希德林斯基村委会，22/5

关于个人数据的处理

第一章 总则

1. 国家单一制企业“科洛斯儿童康复保健中心”（以下简称“本政策”）的个人数据处理政策规定了处理个人数据的基本原则、目标、条件和方法，国家单一制企业“科洛斯儿童康复保健中心”（以下简称“本企业”）处理的个人数据对象和个人数据清单，国家单一制企业“科洛斯儿童康复保健中心”在处理个人数据方面的职能，个人数据主体的权利，以及国家单一制企业“科洛斯儿童康复保健中心”实施的个人数据保护要求。.
2. 本政策的制定充分考虑了白俄罗斯共和国宪法、白俄罗斯共和国有关个人数据的法律法规及其他规章制度的要求。.
3. 本政策的规定为制定地方法律法规奠定了基础，这些法律法规规范了科洛斯州儿童和青少年中心雇员的个人数据处理以及科洛斯州儿童和青少年中心其他个人数据主体的个人数据处理。.

第二章
根据白俄罗斯共和国的立法和其他监管性法律文件，特此作出如下规定：
科洛斯研究与护理中心个人数据处理政策

4. 国营企业“科洛斯”儿童健康中心的个人数据处理政策是根据以下法规制定的：
白俄罗斯共和国宪法；白俄罗斯共和国劳动法；
白俄罗斯共和国2021年5月7日第99-Z号法律《个人数据保护法》；白俄罗斯共和国2008年7月21日第418-Z号法律《人口登记法》；
白俄罗斯共和国2008年11月10日第455-Z号法律《关于信息、信息化和信息保护》；
白俄罗斯共和国的其他监管法律文件和授权国家机关的监管文件。.
5. 为落实本政策的各项规定，国营“科洛斯”儿童健康中心制定了相关的当地法律法规及其他文件，其中包括：
关于国家单一制企业“科洛斯”儿童健康中心个人数据处理和保护的规定（附件 1）；
关于处理包含个人数据的信息时确保保密性的程序规定（附录 2）；
其他规范KUP DROC的地方法律法规和文件
Kolos：关于个人数据处理的问题。.

第三章
库拉·德罗茨“科洛斯”地方法律法规中关于个人数据处理问题的主要术语和定义

6. 生物特征个人数据 - 描述人的生理和生物特征的信息，用于其唯一识别（指纹、掌纹、虹膜、面部特征及其图像等）。.
7. 阻止个人数据——终止对个人数据的访问，但不删除它。.
8. 遗传个人数据——与一个人的遗传或获得性遗传特征有关的信息，其中包含有关其生理或健康的独特数据，尤其是在检查其生物样本时可以识别。.
9. 个人数据去个性化 - 指通过采取某些措施，使得在不使用其他信息的情况下，无法确定个人数据的所有权归属特定个人数据主体。.
10. 个人数据处理——对个人数据进行的任何操作或一系列操作，包括收集、系统化、存储、修改、使用、去个性化、阻止、分发、提供和删除个人数据。.
11. 公开的个人数据——由个人数据主体分发或经其同意分发的个人数据，或根据法律法规要求分发的个人数据。.
12. 个人数据——与已识别或可识别的个人有关的任何信息。.
13. 提供个人数据 - 旨在了解特定个人或群体个人数据的行为。.
14. 个人数据的传播——旨在使无数人了解个人数据的行为。.
15. 特殊个人数据——与种族或民族出身、政治观点、工会成员身份、宗教或其他信仰、健康或性生活、行政或刑事责任有关的个人数据，以及生物识别和基因个人数据。.
16. 个人数据主体——个人数据被处理的个人。.
17. 个人数据跨境传输——将个人数据传输到外国领土。个人数据删除——导致无法在包含个人数据的信息资源（系统）中恢复个人数据，和（或）导致包含个人数据的有形介质被销毁的行为。.
18. 可识别的自然人是指可以直接或间接识别的自然人，特别是通过参考其姓氏、名字、父名、出生日期、身份证号码或与其生理、心理、精神、经济、文化或社会身份相关的一个或多个特征来识别。.
19. 信息——数据（消息、数据），无论其呈现形式如何。.
20. 个人数据的自动化处理——利用计算机技术处理个人数据。.

第四章
个人数据处理的原则和目的

21. 国营企业“科洛斯”儿童健康中心作为个人数据处理者，处理国营企业“科洛斯”儿童健康中心员工的个人数据，以及与国营企业“科洛斯”没有雇佣关系的其他个人数据主体的个人数据。.
22. “科洛斯”儿童健康中心（一家国有单一制企业）处理个人数据时，会考虑到需要确保“科洛斯”儿童健康中心员工和其他个人数据主体的权利和自由得到保护，包括保护隐私权、个人和家庭秘密，并遵循以下原则：
个人数据的处理是在合法、公平的基础上进行的；个人数据的处理与处理的目的相称，并确保在处理的各个阶段所有相关方的利益都得到公平的平衡；
除法律另有规定外，个人数据的处理均须经个人数据主体同意；
个人数据的处理仅限于实现特定的、预先定义的合法目的。与最初所述处理目的不符的个人数据处理是不允许的；
所处理的个人数据的内容和数量与既定的处理目的相符。所处理的个人数据相对于既定的处理目的而言并非过度；
个人数据的处理过程是透明的。个人数据主体可以获得与其个人数据处理相关的必要信息；
运营方采取措施确保其处理的个人数据的准确性，并在必要时进行更新；
个人数据的存储形式应允许识别个人数据主体，且存储时间不得超过处理个人数据的既定目的所需的时间。.
23. 个人数据在“科洛斯”儿童健康娱乐中心（国家单一制企业）进行处理，目的是：确保遵守白俄罗斯共和国宪法、立法和其他相关规定。
白俄罗斯共和国的监管法律文件、KUP DROC 的地方法律文件
“耳朵”;
履行白俄罗斯共和国法律赋予国家单一制企业“科洛斯”儿童健康娱乐中心的职能、权力和职责，包括向政府机关、白俄罗斯共和国劳动和社会保障部社会保障基金以及其他政府机构提供个人数据；
对“科洛斯”国家单一制企业儿童保健中心员工的劳动关系进行规范（协助就业、培训和职业发展，确保人身安全，监督工作量和工作质量，确保财产安全）；
保护个人数据主体的生命、健康或其他重要利益；
与交易对手进行合同的准备、签订、执行和终止；确保“科洛斯”国家单一制企业儿童健康中心设施的访问控制和内部安全；
为国家儿童健康娱乐中心“科洛斯”单一制企业开展活动提供内部信息支持参考资料；
执行司法行为、其他机构或官员根据白俄罗斯共和国关于强制执行程序的法律所作出的应予执行的行为；
在“科洛斯”儿童健康与娱乐中心国营单一企业章程和其他地方法律规定的活动框架内，行使“科洛斯”儿童健康与娱乐中心国营单一企业的权利和合法利益，或实现具有社会意义的目标；
用于其他合法目的。.

第五章
科洛斯·德罗克处理其个人数据的对象名单
24. 下列几类主体的个人数据由国家单一制企业“科洛斯”儿童健康中心处理：
国营企业“科洛斯”儿童健康中心各结构部门的员工；
个人数据的其他主体（以确保实现本政策第 4 章规定的处理目的）。.

第六章
DROC CU 处理的个人数据清单
“耳朵”

25. 根据白俄罗斯共和国法律和科洛斯儿童健康娱乐中心国家单一制企业的地方法规，并考虑到本政策第 4 章规定的个人数据处理目的，确定了科洛斯儿童健康娱乐中心国家单一制企业处理的个人数据清单。.
26. 在KUP DROC中处理与宗教或其他信仰、私生活以及基因个人数据相关的特殊个人数据
“Kolos”尚未实现。.

第七章
KUP DROC“KOLOS”在个人数据处理中的功能
27. 在处理个人数据时，国家单一制企业“科洛斯”儿童健康中心应采取必要且充分的措施，以确保符合相关要求。
白俄罗斯共和国法律和“科洛斯”国有单一制企业地方法律文件中有关个人数据的规定；
采取法律、组织和技术措施，保护个人数据免遭未经授权或意外的访问、破坏、修改、阻止、复制、提供、分发，以及其他与个人数据相关的非法行为；
指定负责实施个人数据处理内部控制的机构或人员；
制定地方法律法规，确定国家单一制企业“科洛斯”儿童健康中心个人数据处理和保护的政策和问题；
使直接参与个人数据处理的“科洛斯”国家单一制企业DROC员工熟悉白俄罗斯共和国法律和“科洛斯”国家单一制企业地方法律文件中有关个人数据领域的规定，包括个人数据保护的要求，并对上述员工进行培训；
发布或以其他方式提供对本政策的无限制访问权限；
按照规定的方式告知个人数据主体或其代表有关该主体的个人数据的可用性，并提供机会使其在提出请求和（或）收到该个人数据主体或其代表的请求后了解该个人数据，除非白俄罗斯共和国法律另有规定；
在白俄罗斯共和国个人数据领域法律规定的情况下，停止处理并销毁个人数据；
执行白俄罗斯共和国法律规定的个人数据领域的其他行为。.

第八章
科洛斯·德罗克个人数据处理条款

28. 国家单一制企业“科洛斯”儿童健康娱乐中心处理的个人数据，均须经个人数据主体同意方可处理，除非白俄罗斯共和国个人数据领域的法律另有规定。.
29. 除白俄罗斯共和国法律另有规定外，国家单一制企业“科洛斯”未经个人数据主体同意，不会向第三方披露或分发个人数据。.
30. “科洛斯”儿童健康中心（国有单一制企业）有权根据与授权人员签订的协议，委托其代表自己或为自己的利益处理个人数据。.
协议必须包含以下内容：
处理个人数据的目的；
授权人员将对个人数据执行的操作清单；
维护个人数据保密性的义务；
根据白俄罗斯共和国 2021 年 5 月 7 日第 99-Z 号法律《个人数据保护法》第 17 条的规定，采取措施确保个人数据得到保护。.
授权人员无需获得个人数据主体的同意。如果代表“科洛斯”儿童健康与娱乐中心处理个人数据需要获得个人数据主体的同意，则该同意由“科洛斯”儿童健康与娱乐中心取得。.
31. 为内部信息支持之目的，国家单一制企业“科洛斯”儿童健康娱乐中心可创建内部参考资料，经个人数据主体书面同意，除非白俄罗斯共和国法律另有规定，该等资料可包括其姓氏、名字、父名、工作地点、职务、出生年份和地点、地址、订阅号、电子邮件地址以及个人数据主体报告的其他个人数据。.
32. 只有“科洛斯”国家单一制企业DROC的雇员，且其职位列入“科洛斯”国家单一制企业DROC结构部门的职位清单中，才能访问在“科洛斯”国家单一制企业DROC处理的个人数据，这些职位是在填写相关职位清单时处理的。.
第九章
个人数据处理操作清单及处理方法

33. 国家单一制企业“科洛斯”儿童健康中心处理个人数据（对个人数据执行的任何操作或一系列操作，包括收集、系统化、存储、修改、使用、去个性化、阻止、分发、提供和删除个人数据）。.
34. 国家单一制企业“科洛斯”儿童健康中心的个人数据按以下方式处理：
使用自动化工具；
在不使用自动化工具的情况下，如果能够根据某些标准（卡片索引、列表、数据库、期刊等）搜索个人数据和（或）访问这些数据，则可确保合法性。.

第十章
个人数据主体的权利

35. 个人数据主体享有以下权利：
撤回个人数据主体的同意；
获取有关个人数据处理和更改个人数据的信息；
要求停止处理个人数据和（或）删除个人数据；对运营者与处理相关的行为（不作为）和决定提出上诉。
个人数据。.

第十一章
科洛斯·德罗克为确保运营商在处理个人数据时履行其职责而采取的措施

36. 为确保落实《刚果民主共和国全面和平协议》所必需和充分的措施
根据白俄罗斯共和国个人数据领域的法律规定，运营商的责任包括：
在获得个人数据主体对处理其个人数据的同意之前，向其提供必要的信息；
向个人数据主体解释其与个人数据处理相关的权利；
除白俄罗斯共和国法律另有规定外，处理个人数据前须获得个人数据主体的书面同意；
指定一个负责国家单一制企业“科洛斯”儿童健康中心个人数据处理内部控制的结构单位或人员；
公布国家单一制企业“科洛斯”儿童健康中心关于个人数据处理的政策文件；
使“科洛斯”国有单一制企业直接处理个人数据的员工熟悉个人数据相关法律法规的规定；
建立访问个人数据的程序，包括在信息资源（系统）中处理的数据；
根据白俄罗斯共和国总统运营分析中心制定的程序，按照包含个人数据的信息资源（系统）分类，在“科洛斯”国家单一制企业儿童健康娱乐中心实施个人数据的技术和加密保护；
确保不受限制地访问（包括通过全球计算机网络互联网）定义KUP DROC政策的文件。
“Kolos”与个人数据处理有关，在开始处理之前；在没有处理理由的情况下终止个人数据的处理；
立即将违反个人数据保护制度的行为通知负责保护个人数据主体权利的授权机构；
修改、屏蔽、删除不准确或非法获取的个人数据；
将个人数据的处理限制在实现特定、预先声明的合法目的范围内；
以允许识别个人数据主体的形式存储个人数据，且存储时间不得超过处理个人数据的既定目的所需的时间。.
37. 根据科洛斯儿童和青少年中心国家单一企业的地方法律法规，制定了在个人数据信息系统中处理个人数据时确保个人数据安全的措施，这些法律法规规范了在科洛斯儿童和青少年中心国家单一企业个人数据信息系统中处理个人数据时确保个人数据安全的问题。.
第十二章
对该地区 KUP DROTS “KOLOS” 遵守白俄罗斯共和国法律和地方法律法规的监督
个人数据，包括个人数据保护要求

38. 对“科洛斯”儿童和青少年中心国有单一制企业各部门在个人数据领域（包括个人数据保护要求）遵守白俄罗斯共和国法律和“科洛斯”儿童和青少年中心国有单一制企业地方法律法规的情况进行监督，以核实“科洛斯”儿童和青少年中心国有单一制企业各部门处理个人数据的情况是否符合白俄罗斯共和国法律和“科洛斯”儿童和青少年中心国有单一制企业地方法律法规的规定，以及为防止和发现违反白俄罗斯共和国个人数据领域法律的行为、识别个人数据泄露和未经授权访问的可能渠道、消除此类违规行为的后果而采取的措施。.
39. KUP DROC各结构部门对合规性的内部控制
白俄罗斯共和国“科洛斯”立法和“科洛斯”国有单一制企业在个人数据领域的地方法律法规，包括个人数据保护要求，由“科洛斯”国有单一制企业中负责组织个人数据处理的人员执行。.
40. 各部门经理对遵守白俄罗斯共和国法律和“科洛斯”国有单一制企业地方规章制度中有关个人数据的要求，以及确保“科洛斯”国有单一制企业各部门个人数据的保密性和安全性负有个人责任。.

附录 1
遵守运营商政策
关于个人数据的处理

市政单一制企业“儿童康复和健康中心“科洛斯”
（KUP“儿童康复和健康中心”“Kolos”）已批准
2023年3月3日，国营企业“科洛斯”儿童健康中心主任第75-P号命令

位置

03.03.2023 № _1_

希德林斯基村委会，22/5
科布林区

关于个人数据的处理和保护

第一章 总则

1. 本个人数据处理和保护条例（以下简称“条例”）
该条例规定了国有单一制企业“科洛斯儿童康复保健中心”（以下简称“本机构”）关于个人数据处理的政策，以及本机构处理非本机构员工个人数据的程序，包括收集、存储、使用、传输和保护此类数据的程序。.
2. 简化个人数据处理旨在确保公民在个人数据处理方面的权利和自由，维护个人数据的机密性并保护个人数据。.
3. 本条例及其修正案须经本组织主任批准。.
4. 本条例是本组织的本地法律文件，员工以及其他参与根据本条例处理个人数据的人员必须遵守和执行。.
5. 本条例是根据以下原则制定并执行的：
白俄罗斯共和国宪法；白俄罗斯共和国劳动法；
1981年1月28日欧洲委员会《关于在自动处理个人数据方面保护个人的公约》；
2007年12月12日《欧盟基本权利宪章》；
白俄罗斯共和国2021年5月7日第99-Z号法律《个人数据保护法》；白俄罗斯共和国2008年7月21日第418-Z号法律《人口登记法》；
白俄罗斯共和国2008年11月10日第455-Z号法律《关于信息、信息化和信息保护》；
2021年5月28日白俄罗斯共和国第114-Z号法律《关于修改劳动关系法》；
白俄罗斯共和国的其他监管法律文件。.

第二章 基本概念

6. 本条例中使用下列基本概念和术语：
组织或运营者 – 市政单一制企业“儿童康复和健康中心“Kolos”，地址：225861，布列斯特州，科布林区，希德林斯基农村委员会，22/5；
个人数据——指与已识别的个人或可识别的个人有关的任何信息；
个人数据主体或主体——指非本组织雇员的个人，其个人数据由本组织处理；
个人数据处理——对个人数据进行的任何操作或一系列操作，包括收集、系统化、存储、修改、使用、去个性化、阻止、分发、提供、删除个人数据；
使用自动化工具处理个人数据——使用计算机技术处理个人数据，但仅凭个人数据包含在个人数据信息系统中或从中提取出来，不能认定这种处理完全使用自动化工具进行；
在不使用自动化工具的情况下处理个人数据——对个人数据的操作，例如使用、澄清、分发、销毁，由个人直接参与进行，如果这可以确保根据某些标准（卡片索引、列表、数据库、日志等）查找个人数据和（或）访问个人数据；
个人数据的传播——旨在使无数人了解个人数据的行为；
提供个人数据 - 旨在了解特定个人或群体个人数据的行为；
个人数据封锁——终止对个人数据的访问，但不删除该数据；
删除个人数据——指导致无法在包含个人数据的信息资源（系统）中恢复个人数据，和（或）导致个人数据的物质载体被销毁的行为；
个人数据去个性化——指在不使用其他信息的情况下，无法确定个人数据所有权的行为。
向特定个人数据主体提供个人数据；
个人数据跨境传输——将个人数据传输到外国领土；
可识别的自然人——指可以直接或间接识别的自然人，尤其可以通过姓氏、名字、父名、出生日期、身份证号码或通过一项或多项信息来识别。
体现其生理、心理、精神、经济、文化或社会身份的特征。.

第三章
个人数据主体类别

7. 本组织处理以下几类主体的个人数据：员工亲属；
求职者；
组织的员工和其他代表；
交易对手方（法人实体）的员工和其他代表；交易对手方（个人）；
消费者；
与运营商互动而需要处理个人数据的其他实体。.

第四章
个人数据的内容和范围

8. 各类主体的个人数据的内容和数量取决于实现其处理的特定目的的需要，以及本组织实现其权利和义务的需要，以及相关主体的权利和义务。.
9. 员工亲属的个人资料包括：姓氏、名字、父名；
出生日期；国籍；
护照信息或其他身份证明文件信息（系列号、编号、签发日期、签发机关名称等）；
婚姻状况和家庭组成信息，包括家庭成员的姓氏、名字和父名、出生日期、工作和/或学习地点；
居住地登记信息（包括地址、登记日期）；实际居住地信息；
国家社会保险证号和序列号；医疗信息（法律规定的情况下）；社会福利和支付信息；
联系信息（包括工作电话、家庭电话和/或手机号码、电子邮件等）；
10. 求职者的个人资料包括：姓氏、名字、父名（以及所有以前的姓氏）；
出生日期和地点；国籍；
护照信息或其他身份证明文件信息（系列号、编号、签发日期、签发机关名称等）；
出生证明详情（编号、签发日期、签发机关名称等）；
地面;
婚姻状况和家庭组成信息，包括家庭成员的姓氏、名字和父名、出生日期、工作和（或）学习地点；
居住地登记信息（包括地址、登记日期）；实际居住地信息；
国家社会保险证的号码和序列号；教育、进修和职业再培训信息；
学历、职称；纳税人识别号；
工作经历信息（包括服务年限和工作经验、就业数据（包括职位、部门）、雇主信息等）；
专业、职业、资格；兵役登记信息；
医疗信息（法律规定的情况下）；生物识别个人数据（包括照片、摄像头拍摄的图像）
视频监控、录音）；
社会福利和支付信息；
联系信息（包括家庭电话号码和/或手机号码、电子邮件等）；
奖励和激励措施信息；
考生在完成性格问卷和心理测量测试活动时提供的信息，以及此类测试的结果（心理测量概况、能力和特征）；
候选人简历或申请表中可能包含的其他信息。.
11. 本组织员工和其他代表的个人数据包括：姓氏、名字、父名（以及所有以前的姓氏）；
出生日期；国籍；
护照信息或其他身份证明文件信息（系列号、编号、签发日期、签发机关名称等）；
签证及其他移民登记文件数据；性别；
住宿地点信息；
生物识别个人数据（包括照片、闭路电视摄像机拍摄的图像、录音）；
社会福利和支付信息；
联系信息（包括工作电话号码和/或手机号码、电子邮件等）；
履行双方权利和义务所需的其他数据。.
12. 交易对手（法人实体）员工及其他代表的个人数据包括：
姓氏，名字，父名；
护照信息或其他身份证明文件信息（系列号、编号、签发日期、签发机关名称等）；
居住地登记信息（包括地址、登记日期）；联系信息（包括工作电话、家庭电话和（或）手机号码，
电子邮件等）；职位；
履行本组织与交易对手之间相互权利和义务所必需的其他数据。.
13. 交易对手的个人数据 - 个人包括：姓氏、名字、父名；
国籍;
护照信息或其他身份证明文件信息（系列号、编号、签发日期、签发机关名称等）；
居住地登记信息（包括地址、登记日期）；国家社会保险证号和序列号；
有关教育、进修和职业再培训、学位、职称的信息；
银行账户信息；纳税人识别号；专业、职业、资格；
联系信息（包括家庭电话号码和/或手机号码、电子邮件等）；
所有权登记证书详情；
履行本组织与交易对手之间相互权利和义务所必需的其他数据。.
14. 消费者的个人数据包括：
姓氏、名字、父名；联系方式；出生日期；
性别；身高，体重；
请求登记和分析所需的其他数据。.
4.8. 其他主体的个人数据包括：
姓氏，名字，父名；
联系信息（包括家庭电话号码和/或手机号码、电子邮件等）；
护照信息或其他身份证明文件信息（系列号、编号、签发日期、签发机关名称等）；
居住地登记信息（包括地址、登记日期）；国家社会保险证号及序列号；
有关教育、进修和职业再培训、学位、职称的信息；
银行账户信息；纳税人识别号；专业、职业、资格；
履行本组织与交易对手之间相互权利和义务所必需的其他数据。.

第五章
个人数据处理原则

15. 对个人数据的处理遵循以下原则：个人数据的处理依据白俄罗斯共和国2021年5月7日第99-Z号《个人数据保护法》及其他法律法规；个人数据的处理必须与其处理目的相称，并在处理的各个阶段确保所有相关方利益的公平平衡；
除白俄罗斯共和国2021年5月7日第99-Z号法律另有规定外，个人数据的处理均需获得个人数据主体的同意。
《个人数据保护法》及其他法律法规；
个人数据的处理必须限于实现特定的、预先确定的合法目的。与最初所述处理目的不符的个人数据处理是不允许的；
所处理的个人数据的内容和数量必须与其既定处理目的相符。所处理的个人数据不得超出其既定处理目的所需；
个人数据的处理必须透明。为此，在白俄罗斯共和国2021年5月7日第99-Z号《个人数据保护法》规定的情况下，个人数据主体有权获得有关其个人数据处理的相关信息；
运营者有义务采取措施确保其处理的个人数据的准确性，并在必要时进行更新；
个人数据必须以能够识别个人数据主体的方式存储，且存储时间不得超过处理个人数据的既定目的所需的时间。.

第六章
个人数据处理的目的

16. 个人数据主体的个人数据将出于以下目的进行处理：
履行白俄罗斯共和国法律和白俄罗斯共和国缔结的国际条约赋予本组织的职能、权力和职责；
向雇员亲属提供福利和补偿；识别利益冲突；
考虑为候选人提供就业机会；维持人员储备；
筛选候选人（包括其资格和工作经验）；组织和支持商务旅行；
举办活动并确保个人数据主体参与其中；确保安全，保护物质资产并防止
犯罪行为；
签发授权委托书及其他授权文件；进行谈判、签订和执行合同；核查交易对手；
宣传推广产品，包括提供有关本组织产品的信息；
处理有关产品安全索赔和信息；处理有关不良事件和副作用的投诉；履行税务代理人的职责；
其他旨在确保遵守雇佣合同、法律和其他监管法律行为的目的。.
17. 个人数据仅出于一项或多项特定合法目的进行处理。如果个人数据是为特定目的收集和处理的，则将该数据用于其他目的需要通知个人数据主体，并在必要时获得其新的同意。.
18. 如有必要，为确保遵守法律，个人数据可用于其他目的。.

第七章
个人数据处理规则

19. 一般规则。.
19.1. 个人数据采用混合处理方式（包括使用自动化工具和不使用自动化工具）进行处理，包括使用内部网络和互联网。.
19.2. 根据白俄罗斯共和国法律规定的情况，处理个人数据的主要条件是获得相关个人数据主体的同意，包括以书面形式同意。.
19.3. 个人数据主体对其个人数据的处理所作出的书面同意必须包括：
姓氏、名字、父名（如有）；出生日期；
身份证号码，如果没有身份证号码，则提供证明其身份的文件号码；
个人数据主体的签名。.
如果处理个人数据的目的不需要处理信息，则在收到个人数据主体的同意后，运营者不会处理该信息。.
19.4. 除特殊个人数据外，在下列情况下，处理个人数据无需征得个人数据主体的同意：
为了进行行政和（或）刑事诉讼，实施行动搜查活动；
用于司法行政、执行法院命令和其他行政文件；
为了根据法律法规行使控制（监督）权；为了执行国家安全领域的法律规范，打击……
腐败，防止洗钱、资助恐怖主义活动和资助大规模杀伤性武器扩散；
在执行有关选举、全民公投、罢免众议院议员、白俄罗斯共和国国民议会共和国院议员、地方议会议员的法律规定时；
为国家社会保险（包括职业养老保险）的目的，保存被保险人的个人（个性化）信息记录；
在劳动（服务）关系正式化过程中，以及在法律规定的情况下，个人数据主体的劳动（服务）活动过程中；
开展公证活动；
在考虑与白俄罗斯共和国公民身份、授予难民身份、辅助保护、庇护和在白俄罗斯共和国的临时保护有关的问题时；
用于分配和支付养老金和福利；
用于组织和开展国家统计观测，生成官方统计信息；
出于科学或其他研究目的，但须对个人数据进行强制匿名化处理；
在记录、计算和收取住房和公共服务费、住宅使用费和电费报销费、其他服务费和税款报销费时，以及在提供福利和收取住房和公共服务费、住宅使用费和电费报销费的欠款时；
当运营者根据与个人数据主体签订（或正在签订）的协议收到个人数据，以履行该协议规定的行为时；
处理个人数据时，如果个人数据在提交给运营者并由个人数据主体签署的文件中明确规定，则应按照该文件的内容进行处理；
为了实施记者的合法职业活动和（或）大众传媒机构、从事出版活动的组织的活动，旨在保护公共利益，即社会需要发现和披露有关国家安全、公共秩序、公共卫生和环境威胁的信息，以及影响政府官员、公众人物履行职责的信息，但民事诉讼法、经济诉讼法、刑事诉讼法、行政诉讼程序法规定的情形除外；
为了保护个人数据主体或其他人员的生命、健康或其他重要利益，在无法获得个人数据主体同意的情况下；
对于先前已披露的个人数据，在个人数据主体提出停止处理该等已披露个人数据的请求，以及在没有其他依据白俄罗斯共和国2021年5月7日第99-Z号法律规定的处理个人数据的理由的情况下要求删除该等个人数据之前，应予以处理。
《个人数据保护法》及其他法律法规；
在为履行法律规定的职责（权力）而必须处理个人数据的情况下；
在白俄罗斯共和国 2021 年 5 月 7 日第 99-Z 号法律《个人数据保护法》及其他法律明确规定无需个人数据主体同意即可处理个人数据的情况下。.
19.5. 未经个人数据主体同意，禁止处理特殊个人数据，但下列情况除外：
如果个人数据主体公开了特殊的个人数据；
在劳动（服务）关系正式化过程中，以及在法律规定的情况下，个人数据主体的劳动（服务）活动过程中；
当公共团体、政党、工会和宗教组织为了实现其法定目标而处理其创始人（成员）的个人数据时，前提是未经个人数据主体同意，这些数据不得传播；
为组织提供医疗服务之目的，前提是此类个人数据由负责确保个人数据保护并依法负有维护医疗保密义务的医疗、制药或其他卫生保健工作者处理；
司法行政、法院命令和其他行政文件的执行、行政登记的执行以及继承权的登记；
为了进行行政和（或）刑事诉讼，实施行动搜查活动；
在刑事行政立法、国家安全立法、国防立法、反腐败立法、反恐和打击极端主义立法、防止犯罪所得合法化、资助恐怖活动和资助大规模杀伤性武器扩散立法、白俄罗斯共和国国家边界立法、公民身份立法、离开白俄罗斯共和国和进入白俄罗斯共和国的程序立法、难民身份立法、在白俄罗斯共和国的额外保护、庇护和临时保护立法中规定的情况下；
为了确保统一的国家犯罪登记和记录系统的正常运作；
为了保存法医记录；
用于组织和开展国家统计观测，生成官方统计信息；
执行行政程序；
在执行白俄罗斯共和国关于重新接纳的国际条约时；在进行人口普查时；
为了保护个人数据主体或其他人员的生命、健康或其他重要利益，在无法获得个人数据主体同意的情况下；
在为履行法律规定的职责（权力）而必须处理特殊个人数据的情况下；
在白俄罗斯共和国 2021 年 5 月 7 日第 99-Z 号法律《个人数据保护法》及其他法律明确规定无需个人数据主体同意即可处理特殊个人数据的情况下。.
只有采取一系列措施来防止在处理此类个人数据过程中可能对个人数据主体的权利和自由造成风险，才允许处理特殊个人数据。.
19.6. 个人数据的收集。.
19.6.1. 所有个人数据的信息来源都是个人数据的主体。.
19.6.2. 除非白俄罗斯共和国2021年5月7日第99-Z号法律另有规定，否则
“关于个人数据保护”，本组织只有在通知个人数据主体或获得个人数据主体书面同意的情况下，才有权从第三方接收个人数据主体的个人数据。.
19.6.3. 向个人数据主体告知其从第三方收到其个人数据的信息必须包含以下内容：
运营商名称及其所在地地址；
处理个人数据的目的及其法律依据；个人数据的预期使用者；个人数据主体的法定权利；获取个人数据的来源。.
19.7. 个人数据的存储。.
19.7.1. 存储个人数据时，必须遵守确保个人数据安全的条件。.
19.7.2. 包含个人数据的纸质文件应存放于指定地点，并限制访问权限，以确保其免受未经授权的访问。文件存放地点由本组织决定。.
19.7.3. 以电子方式存储的个人数据通过专门的技术和软件保护措施防止未经授权的访问。禁止将个人数据以电子形式存储在组织信息系统和组织明确指定的数据库之外（非系统性个人数据存储）。.
19.7.4. 个人数据必须以能够识别个人数据主体的形式存储，但存储时间不得超过处理目的所需的时间，除非白俄罗斯共和国法律或个人数据主体作为一方、受益人或担保人的协议另有规定。.
19.7.5. 除非法律另有规定，处理过的个人数据在达到处理目的、不再需要达到这些目的或存储期限届满时，应当销毁或匿名化。.
19.7.6. 个人数据的销毁或去个性化处理必须以不影响进一步处理该个人数据的方式进行。但是，如有必要，必须保留处理存储在相关有形介质上的其他数据的能力（删除、擦除）。.
19.7.7. 如果需要销毁或屏蔽部分个人数据，则应销毁或屏蔽物理介质，并预先复制未被销毁或屏蔽的信息，且销毁或屏蔽的方式应排除同时复制被销毁或屏蔽的个人数据。.
19.7.8. 如果需要销毁或屏蔽部分个人数据，则应销毁或屏蔽物理介质，并预先复制未被销毁或屏蔽的信息，且销毁或屏蔽的方式应排除同时复制被销毁或屏蔽的个人数据。.
19.8. 使用。.
19.8.1. 个人数据将按照本条例第 6.1 条规定的目的进行处理和使用。.
19.8.2. 只有那些因工作职责需要处理个人数据的本组织员工，且仅在处理相关数据所必需的期限内，才能访问个人数据。此类人员名单由本组织确定。.
19.8.3. 如需向未列入个人数据访问权限人员名单的员工授予个人数据访问权限，公司董事或其授权人员可下令临时授予其有限范围的个人数据访问权限。相关员工必须熟悉本组织所有关于个人数据的当地法律法规，并签署保密协议。.
19.8.4. 不使用自动化工具处理个人数据的员工应被告知（包括通过熟悉本条例）他们正在处理个人数据的事实、正在处理的个人数据类别，以及法律和本条例规定的进行此类处理的具体细节和规则。.
19.8.5. 未经正式签发的许可，本组织员工不得访问个人数据。.
19.8.6. 如果必须将某些个人数据与位于同一有形介质上的其他个人数据分开使用或分发，则应以排除同时复制不属于分发和使用范围的个人数据的方式复制要分发或使用的个人数据，并且使用（分发）该个人数据的副本。.
19.8.7. 在不使用自动化手段处理个人数据时，对个人数据进行澄清，可以通过更新或更改有形介质上的数据来实现；如果该有形介质的技术特性不允许这样做，则可以在同一有形介质上记录有关更改的信息，或者制作包含已澄清个人数据的新有形介质。.
19.9. 转账。.
19.9.1. 将主体的个人数据传输给第三方时，仅允许传输必要的最小数据量，并且仅用于执行与收集该数据的客观原因相符的任务。.
19.9.2. 向第三方（包括用于商业目的的第三方）转移个人数据，只有在获得当事人同意或有其他法律依据的情况下才允许。.
19.9.3. 将个人数据传输给第三方时，必须将此类传输告知数据主体，但法律另有规定的除外，尤其是在以下情况下：
个人数据主体被告知其个人数据正由从组织处收到相关数据的运营者进行处理；
个人数据由个人数据主体公开提供，或从公开来源获得；
个人数据的处理是为了统计或其他研究目的，为了记者的专业活动或科学、文学或其他创作活动，前提是这不侵犯个人数据主体的权利和合法利益。.
19.9.4. 包含个人数据的信息必须以确保免受未经授权的访问、破坏、修改、阻止、复制、分发以及其他与此类信息相关的非法行为的方式进行传输。.
19.9.5. 如果外国领土不能确保个人数据主体权利得到充分保护，则禁止跨境传输个人数据，但以下情况除外：
个人数据主体已同意，但前提是该个人数据主体已被告知因缺乏足够的保护水平而产生的风险；
个人数据是根据与个人数据主体签订（或正在签订）的协议获得的，目的是为了执行该协议规定的行为；
任何人均可按照法律规定的方式和情形提出请求，获取个人数据；
如果无法获得个人数据主体的同意，则为保护个人数据主体或其他人员的生命、健康或其他重要利益，有必要进行此类转移；
个人数据是在白俄罗斯共和国执行国际条约的框架内进行处理的；
金融监管机构进行此类转移的目的是为了依法采取措施，防止洗钱、资助恐怖主义活动和资助大规模杀伤性武器扩散；
已获得个人数据主体权利保护授权机构的相关许可。.
19.9.6. 必须告知接收个人数据的个人，这些数据只能用于其提供时所指定的用途，并且必须以保密方式使用。本组织有权要求这些个人确认此规则已得到遵守。.
19.9.7. 在政府机构有权要求提供个人数据，或依法必须提供个人数据，以及根据法院要求提供个人数据的情况下，可以按照白俄罗斯共和国法律规定的方式向其提供相关信息。.
19.9.8. 所有收到的请求必须转发给组织内负责处理个人数据的人员进行初步审查和批准。.
19.9 处理订单。.
19.9.1. 该组织有权将个人数据的处理委托给授权人员。
脸。.
19.9.2. 在运营商与授权人之间的协议中，立法行为
或者政府机构的决定必须确定：处理个人数据的目的；
授权人员将对个人数据执行的操作清单；
维护个人数据保密性的义务；
根据白俄罗斯共和国 2021 年 5 月 7 日第 99-Z 号法律《个人数据保护法》第 17 条的规定，采取措施确保个人数据得到保护。.
19.9.3. 授权人员无需取得个人数据主体的同意。如果代表运营者处理个人数据需要个人数据主体的同意，则该同意应由运营者取得。.
19.9.4. 如果运营者将个人数据的处理委托给授权人员，则运营者应对该授权人员的行为向个人数据主体承担责任。授权人员应对运营者承担责任。.
19.10. 保护。.
19.10.1. 个人数据保护是指一系列旨在实现以下目标的法律、组织和技术措施：
确保信息免受未经授权的访问、破坏、修改、封锁、复制、提供、分发以及其他与此类信息相关的非法行为；
维护受限信息的机密性；行使访问信息的权利。.
19.10.2. 为保护个人数据，本组织采取法律规定的必要措施（包括但不限于）：
限制和规范因履行职责需要接触包含个人数据的信息（包括通过使用密码访问电子信息资源）的员工的组成；
规定了在受限访问地点存储包含个人数据的文件的条件；
如果法律没有规定对相关数据的存储要求，则组织销毁包含个人数据的信息的程序；
监督个人数据安全保障要求的遵守情况，包括本条例规定的要求（通过开展内部审计、建立专门的监控工具等）；
对未经授权访问或泄露个人数据的案件进行调查，追究相关员工的责任并采取其他措施；
实施用于保护电子信息形式的软件和硬件；确保能够恢复已修改的个人数据
或因未经授权的访问而损毁。.
19.10.3. 为保护信息系统处理过程中的个人数据，本组织采取法律规定的必要措施（包括但不限于）：
识别个人数据处理过程中存在的安全威胁；
在个人数据信息系统中处理个人数据时，采取组织和技术措施以确保个人数据的安全，以满足个人数据保护的要求；
对机器可读介质中的个人数据进行统计；
检测未经授权访问个人数据的事实并接受
措施；
恢复已被修改或销毁的个人数据
由于未经授权的访问；
制定个人数据信息系统中处理的个人数据的访问规则，并确保对个人数据信息系统中所有与个人数据相关的操作进行登记和记录。.
19.10.4. 本组织已指定负责处理个人数据的人员。.
19.10.5. 本组织采取其他措施，旨在确保履行白俄罗斯共和国法律规定的个人数据领域的义务。.

第八章
个人数据主体的权利和责任
20. 个人数据主体享有以下权利：
20.1. 您可随时无需解释，按照2021年5月7日白俄罗斯共和国法律第14条规定的方式向运营商提交申请，撤销您的同意。
第 99-Z 号“个人数据保护法”，或以获得其同意的形式；
20.2. 接收有关其个人数据处理的信息，其中包括：
运营者的姓名（姓氏、名字、父名（如有））和所在地（居住地地址（居住地））；
确认运营者（授权人）处理个人数据的事实；
他的个人数据及其来源；处理个人数据的法律依据和目的；他同意的期限；
如果个人数据的处理委托给政府机构、白俄罗斯共和国法人实体或其他组织，则需提供授权人的姓名和所在地；
法律规定的其他信息；
20.3. 如果个人数据不完整、过时或不准确，个人数据主体有权要求运营者更正其个人数据。为此，个人数据主体应按照2021年5月7日白俄罗斯共和国第99-Z号法律《个人数据保护法》第14条规定的程序，向运营者提交申请，并附上相关文件和/或其经正式认证的副本，以证明需要更正个人数据；
20.4. 除白俄罗斯共和国2021年5月7日第99-Z号《个人数据保护法》及其他法律法规另有规定外，个人数据主体有权每年一次免费从运营方获取其个人数据向第三方提供的信息。为获取此信息，个人数据主体应向运营方提交申请。.
个人数据主体的申请必须包含：
个人数据主体的姓氏、名字、父名（如有）、居住地地址（停留地）；
个人数据主体的出生日期；
个人数据主体的识别号码，或者，在没有此类号码的情况下，个人数据主体的身份证件号码；如果个人数据主体在向运营者提供同意时指明了该信息，或者在未经个人数据主体同意的情况下处理个人数据，则采用该信息；
个人数据主体需求的实质陈述；
个人数据主体的亲笔签名或电子签名；
20.5. 个人数据主体有权要求运营者免费停止处理其个人数据，包括删除个人数据，但前提是不存在《白俄罗斯共和国2021年5月7日第99-Z号个人数据保护法》及其他法律法规规定的处理个人数据的理由。为行使此项权利，个人数据主体应按照《白俄罗斯共和国2021年5月7日第99-Z号个人数据保护法》规定的方式向运营者提交申请。
20.6. 对于处理个人数据时侵犯其权利的运营者行为（不作为）和决定，可向有权保护个人数据主体权利的机构提出申诉。
根据法律规定的公民和法人实体申诉程序处理个人数据。.
21. 根据白俄罗斯共和国的法律，个人获取其个人数据的权利可能会受到限制。.
22. 所有与个人数据处理有关的当事人或其代表的请求均在相关期刊中登记。.
23. 个人数据主体有义务：
向本组织提供可靠的个人数据；
及时向组织报告其个人数据的变更和新增情况；
根据白俄罗斯共和国法律和本组织在个人数据处理和保护领域的地方法律法规，行使自身权利；
履行白俄罗斯共和国法律和本组织地方法律法规在个人数据处理和保护领域规定的其他职责。.

第九章
组织的权利和责任

24. 该组织有权：
制定组织内个人数据处理规则，在法律要求的框架内独立地对条例进行修改和补充，制定和应用履行运营者职责所需的文件表格；
行使白俄罗斯共和国法律和本组织地方法律法规在个人数据处理和保护领域规定的其他权利。.
25. 该组织有义务：
向个人数据主体解释其与个人数据处理相关的权利；
除白俄罗斯共和国 2021 年 5 月 7 日第 99-Z 号《个人数据保护法》及其他法律法规规定的情况外，须获得个人数据主体的同意；
确保个人数据在处理过程中受到保护；
向个人数据主体提供有关其个人数据的信息，以及向第三方提供其个人数据的信息，但2021年5月7日白俄罗斯共和国第99-Z号《个人数据保护法》及其他法律法规规定的情况除外；
除法律另有规定或处理个人数据的目的不需要对个人数据进行后续更改的情况外，不得对不完整、过时或不准确的个人数据进行更改；
在没有白俄罗斯共和国2021年5月7日第99-Z号法律规定的处理个人数据的理由的情况下，应停止处理个人数据，并删除或阻止处理（确保由授权人员停止处理个人数据，并删除或阻止处理）。
《个人数据保护法》及其他法律法规；
除个人数据保护机构另有规定外，运营者应立即将违反个人数据保护制度的情况通知个人数据主体权利保护授权机构，但不得迟于运营者知悉此类违规行为后 3 个工作日；
应个人数据主体权利保护授权机构的要求，更改、阻止或删除个人数据主体的不准确或非法获取的个人数据，除非立法行为另有规定；
遵守授权机构为保护个人数据主体权利而提出的其他要求，以消除违反个人数据法律的行为；
履行白俄罗斯共和国 2021 年 5 月 7 日第 99-Z 号法律《个人数据保护法》及其他法律法规规定的其他职责。.

第十章 责任

26. 违反白俄罗斯共和国2021年5月7日第99-Z号法律的人员
“关于个人数据保护”，承担法律规定的责任。.
27. 违反本条例以及白俄罗斯共和国个人数据领域法律的雇员和其他人员，可按照白俄罗斯共和国劳动法规定的方式承担纪律处分和物质责任，并可按照白俄罗斯共和国法律规定的方式承担民事、行政和刑事责任。.

附录2
遵守运营商政策
关于个人数据的处理


市政单一企业
儿童康复和健康中心“Kolos”
（KUP“儿童康复与健康”）
科洛斯中心）已批准
科洛斯儿童健康中心国营企业主任命令
自 2023 年 3 月 3 日起，第 75-P 号


2023年3月3日第2号条例
希德林斯基村委会，22/5
科布林区

关于确保保密性的程序
处理包含个人数据的信息时

第一章 总则

1. 本条例规定了在“科洛斯儿童康复保健中心”（以下简称“本机构”）市政单一制企业处理个人数据时确保安全的方法，个人数据是指对个人数据进行的任何操作或一系列操作，包括收集、系统化、存储、修改、使用、去个性化、阻止、分发、提供和删除个人数据。.
2. 本条例是根据《白俄罗斯共和国宪法》制定的；
白俄罗斯共和国劳动法典
1981年1月28日欧洲委员会《关于在自动处理个人数据方面保护个人的公约》；
2007年12月12日《欧盟基本权利宪章》；
白俄罗斯共和国2021年5月7日第99-Z号法律《个人数据保护法》；白俄罗斯共和国2008年7月21日第418-Z号法律《人口登记法》；
白俄罗斯共和国2008年11月10日第455-Z号法律《关于信息、信息化和信息保护》；
2021年5月28日白俄罗斯共和国第114-Z号法律《关于修改劳动关系法》；
白俄罗斯共和国的其他监管法律文件。.
3. 根据白俄罗斯共和国法律，个人数据是指与已识别的个人或可识别的个人有关的任何信息，包括其姓氏、名字、父名、出生年份、月份、日期和地点、地址、家庭、社会、财产状况、教育、职业、收入以及组织在劳动关系中所需的其他信息。.
4. 处理个人数据时确保保密性的要求意味着，经授权处理个人数据的组织官员和其他已获得个人数据访问权限的人员，未经个人数据主体同意或存在其他法律依据，不得允许传播个人数据。.
5. 在以下情况下，无需确保个人数据的保密性：个人数据去个性化（导致以下情况发生的行为）
如果不借助其他信息，就无法确定特定个人数据主体对个人数据的所有权；
对于公开可用的个人数据（由个人数据主体分发或经其同意分发的个人数据，或根据法律法规要求分发的个人数据）。.
6. 个人数据清单以及负责存储和处理个人数据的人员名单，均由本组织主任下令批准。.
禁止由订单中未指定的人员处理和存储机密数据。.
7. 为确保在处理个人数据时遵守保密和安全要求，本组织向处理个人数据的官员提供履行特定要求的必要条件：
使员工熟悉“科洛斯”国家单一制企业儿童健康中心关于处理个人数据的运营政策要求，以及处理条例和
为保护“科洛斯”国家单一制企业儿童健康与娱乐中心的个人数据，本条例规定了处理包含个人数据的信息时确保保密性的程序，并结合本组织的职位描述和其他地方法律文件，确保个人数据的保密性和安全性；
代表文档的存储，以及访问信息资源（密钥、密码等）的手段；
教授信息安全工具的操作规则；开展其他必要活动。.
8. 本组织处理个人数据的官员不得以口头或书面形式向任何人披露个人数据，除非出于公务需要。文件编制并提交后，草稿文件和

文件版本由编制该文件的员工传输到标有标签的、用于存储个人数据的介质上。.
未经部门负责人同意，禁止创建和存储包含机密数据的数据库（卡片索引、文件档案等）。.
9. 本组织处理个人数据的官员有义务仅将个人数据信息用于与其工作职责相关的目的。.
10. 与处理个人数据相关的工作职能终止时，该雇员必须将履行公务时所掌握的所有包含个人数据的信息载体（文件的原件和副本、机器和纸质介质等）移交给其直接主管。.
11. 仅在白俄罗斯共和国法律、国家单一制企业“科洛斯”的个人数据处理政策、国家单一制企业“科洛斯”的个人数据处理和保护条例、国家单一制企业“科洛斯”处理包含个人数据的信息时确保保密程序条例、组织的工作说明以及其他地方法律文件中规定的情形下，才允许将个人数据传输给第三方。
个人数据的传输由负责处理个人数据的组织官员根据结构单位负责人的书面或口头指示执行。.
12. 包含个人数据的信息和文件的转移，应按照既定形式制定法律文件予以正式化。.
13. 向第三方提供个人数据的官员应当向个人数据主体发出书面通知，说明其数据已转移给第三方的事实。.
14. 除本组织现行法律和地方法律规定的情况外，禁止通过电话、传真或电子邮件传输个人数据。.
对于公民和组织的询问，我们将予以答复，但答复中不会披露个人数据，申请人材料中包含的数据或公开来源中公布的数据除外。.
15. 本组织中处理个人数据的官员有义务立即将他们所了解的有关第三方未经授权访问或试图访问个人数据、包含个人数据的信息载体、身份证、通行证、保险箱（存储设施）钥匙、个人印章、电子钥匙的丢失或短缺以及其他可能导致未经授权访问个人数据的事实，以及此类信息可能泄露的原因和条件，立即通知其直接主管和/或首席信息安全专家。.
16. 处理个人数据的官员如未能遵守白俄罗斯共和国法律规定的个人数据保密和保护要求，应承担纪律、行政、民事或刑事责任。.
17. 组织对员工在确保保密性和安全性方面履行职责的情况缺乏有效监管

个人数据并不能免除雇员根据白俄罗斯共和国法律所承担的义务和责任。.

第二章
确保在不使用自动化工具的情况下处理个人数据时安全性的程序

18. 如果个人数据的处理（包括信息系统中包含的个人数据或从信息系统中提取的个人数据）是由人直接参与进行的，则该处理应视为未使用自动化工具（非自动化）进行。.
19. 不使用自动化工具处理个人数据的结构单元负责人：
确定个人数据（物理介质）的存储位置；监控结构单元中确保数据可用性的条件。
保障个人数据安全并防止未经授权的访问；告知处理个人数据的人员无需使用
自动化工具、处理的个人数据列表，以及实施此类处理的功能和规则；
将有形个人数据载体（文件、磁盘、软盘、U盘等）进行单独（即不混合）存储，并出于各种目的对其进行处理。.
20. 在有形介质上记录个人数据时，禁止在同一有形介质上记录处理目的明显不相容的个人数据。在不使用自动化手段的情况下处理不同类别的个人数据时，必须为每类个人数据使用不同的有形介质。.
21. 如果处理个人数据的目的不相容，则结构单位负责人必须确保对个人数据进行单独处理。.
22. 如果实体介质允许，则销毁或匿名化部分个人数据必须以排除进一步处理该个人数据的方式进行，同时保留处理记录在实体介质上的其他数据的可能性（删除、擦除）。.
23. 在不使用自动化工具的情况下处理个人数据时，通过更新或更改有形媒介上的数据来进行澄清。.
第三章
使用自动化工具处理个人数据以确保安全性的程序

24. 使用自动化方式处理个人数据是指利用组织（以下简称KSO）计算机网络中的计算设备对这些数据执行操作。.
KSO 通过个人数据保护系统来保证个人数据在处理过程中的安全，该系统包括组织措施和信息安全工具，以及 KSO 使用的信息技术。.
信息保护的技术和软件手段必须符合白俄罗斯共和国法律规定的要求。
企业社会责任中使用的信息安全措施需按照既定程序进行合规性评估。.
25. 使用自动化工具处理个人数据的人员，须根据组织主管的命令，并持有访问密码方可访问。.
对 KSO 中包含的个人数据的处理，均按照“用户操作条例”进行，负责处理个人数据的员工已熟悉并签署该条例。.
26. KSO 中处理个人数据的工作必须以保证个人数据载体和信息安全工具的安全为前提进行组织，并排除未经授权人员不受控制地出现在这些场所的可能性。.
27. 包含个人数据文件的计算机和/或电子文件夹必须使用符合科洛斯儿童健康中心国家单一企业“密码保护条例”要求的个人访问密码进行保护。.
28. 禁止在不使用特殊保护措施的情况下，通过公共通信网络（包括互联网）传输个人数据。.
29. 在知识共享组织（KSO）中处理个人数据时，用户必须确保：
使用内置于技术设备或为此目的而设计的可移动标记介质的信息载体部分（目录）；
防止对个人数据自动化处理的技术手段造成物理冲击，从而导致其功能中断；
持续使用防病毒软件检测受感染的文件，并立即恢复因未经授权的访问而被修改或销毁的个人数据；
防止未经授权从场所移除、安装、连接设备，以及移除、安装或配置软件。.
30. 在知识共享组织（KSO）中处理个人数据时，信息系统的开发人员和管理员必须确保：
对使用KSO中应用的信息安全工具的人员进行培训，使其了解使用这些工具的规则；
KSO中授权处理个人数据的人员登记、访问权限和密码；
所用信息安全工具的统计，以及相关的操作和技术文档；
监控信息安全工具的使用条件是否符合操作和技术文档中的规定；
个人数据保护系统描述。.
31. 本组织各个自动化系统中个人数据保护的具体要求，由按照既定方式批准的使用和操作说明确定。.

第四章
个人数据可移动介质、纸质文件的会计核算、存储和处理程序及其处置
32. 所有存储于本组织内部并在组织内部流通的、包含个人数据的可移动介质（磁盘、软盘、U盘等）均须进行登记。每个包含个人数据的可移动介质都必须贴有其唯一的识别号码标签。.
33. 可移动个人数据存储介质的核算和发放由会计人员负责。.
组织的员工从授权员工处获得有记录的可移动存储设备，用于在特定时期内执行工作。.
收到后，在会计部门维护的可移动个人数据存储设备的个人会计账簿（以下简称会计账簿）中进行相应的记录。.
工作完成后，用户将可移动介质交给授权员工进行存储，并在日志中做相应记录。.
34. 使用包含个人数据的可移动存储介质时，禁止：
将包含个人数据的可移动介质与包含公开信息的介质一起存放在桌面上，或者将其置于无人看管的状态，或者将其移交给其他人存储；
将包含个人数据的可移动存储介质从办公场所带走，以便在家中、酒店等地使用。.
35. 向接收方发送或传输个人数据时，仅将拟发送给接收方的数据记录在可移动介质上。向接收方发送个人数据时，应按照官方文件发送方式进行。未经本组织结构单位负责人书面许可，不得从可移动介质中取出个人数据直接发送给接收方。.
36. 任何丢失包含个人数据的可移动介质或泄露其中包含的信息的情况，都必须立即向组织负责人报告。.
丢失的媒体资料会撰写一份报告，并在日志中作相应记录。.

第五章
最后条款

37. 本组织各部门所有员工以及根据与处理本组织员工个人数据相关的协议和合同开展工作的个人，均须通过签署《个人数据处理访问日志》了解本条例。处理个人数据的数据库和信息系统的管理员负责此项指示。.