Политика в отношении обработки персональных данных
ПОЛИТИКА
в отношении обработки персональных данных в обществе с ограниченной ответственностью «Весна-7»
ГЛАВА 1 ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных в обществе с ограниченной ответственностью «Весна-7» (далее Политика), зарегистрированном по адресу: 246015, г. Гомель, ул. Федюнинского,19а, разработана во исполнение требований абз. 3 п. 3 ст. 17 Закона Республики Беларусь от 07.05.2021 N99-3 «О защите персональных данных» (далее - Закон о персональных данных), в целях обеспечения защиты прав и свобод физических лиц при обработке их персональных данных.
1.2. Политика в отношении обработки персональных данных определяется в соответствии с Конституцией Республики Беларусь, Трудовым кодексом Республики Беларусь, Законом Республики Беларусь от 07.05.2021 N99-3 «О защите персональных данных» и иными нормативными правовыми актами Республики Беларусь.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Весна-7» (далее Оператор).
1.4. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих у Оператора вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.
1.5. Во исполнение требований п. 4 ст. 17 Закона о персональных данных Политика публикуется в свободном доступе с использованием глобальной компьютерной сети Интернет на сайте Оператора: https://www.stroi-ka.by/.
1.6. Основные понятия, используемые в Политике:
- автоматизированная обработка персональных данных обработка персональных данных с помощью средств вычислительной техники;
- биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
- блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
- генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
- интернет-магазин - интернет-магазин Оператора со следующим доменным именем: https://stroi-ka.by/;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- общедоступные персональные данные персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
- оператор персональных данных - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
- персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
- предоставление персональных данных действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- сайт - страница Оператора с использованием глобальной компьютерной сети Интернет на сайте Оператора: https://www.stroi-ka.by/;
- сервисы - это любые продукты, программы, мероприятия, услуги Оператора (в том _ числе сайт, интернет-магазин).
- специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
- субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;
- удаление персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
- физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
ГЛАВА 2 ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных на основе следующих принципов:
- обработка персональных данных должна осуществляться Оператором в строгом соответствии с требованиями законодательства Республики Беларусь;
- обработка персональных данных должна быть соразмерна заявленным
Оператором целям их обработки, а также обеспечивать справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных должна осуществляться Оператором с согласия субъекта персональных данных или при наличии иных законных оснований, установленных законодательством Республики Беларусь;
- содержание и объем персональных данных должны соответствовать заявленным целям их обработки, не допустима обработка персональных данных несовместимая с заявленными целями их обработки;
- обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным Оператором целям их обработки;
- хранение персональных данных должно осуществляться Оператором в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
- обработка персональных данных должна носить открытый и прозрачный характер.
2.2. Обработка Оператором персональных данных осуществляется в следующих целях:
- обеспечение соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Оператора;
- осуществление функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Оператора, в том числе по предоставлению персональных данных в органЫ' государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- составление налоговой, бухгалтерской, статистической и иных форм обязательной отчетности Оператора;
- обеспечение защиты жизни и здоровья работников Оператора, потребителей, посетителей и других субъектов персональных данных;
- подготовка, заключение, исполнение и прекращение договоров с контрагентами;
- обеспечение пропускного и внутриобъектового режимов на объектах Оператора, в том числе с помощью записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора, которые обрабатываются с целью обеспечения личной безопасности субъектов персональных данных и обеспечения сохранности имущества Оператора и субъектов персональных данных (не используются для идентификации субъекта персональных данных, а, следовательно, не являются биометрическими персональными данными);
- формирование справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
- исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Оператора, либо достижение общественно значимых целей;
- предоставление субъектам персональных данных информации о деятельности Оператора;
- осуществление клиентской поддержки (предоставление обратной связи);
- выполнение Оператором своих обязательств перед субъектами персональных данных;
- информирования потребителей, а также иных субъектов персональных данных о товарах, работах, услугах Оператора, проводимых акциях и иных мероприятиях (рекламная рассылка);
- проведение аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг;
- обработка обращений и запросов, получаемых от субъектов персональных данных;
- ведение кадрового делопроизводства Оператора;
- выдача доверенностей и иных уполномочивающих документов;
- организация постановки на индивидуальный (персонифицированный) учет работников Оператора в системе обязательного пенсионного страхования;
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- осуществление гражданско-правовых отношений;
- подтверждение наличия полномочий на осуществление представительских функций;
- ведение бухгалтерского учета;
- проведение рекламных, маркетинговых и иных подобных мероприятий, включая реализацию программ лояльности Оператора (в том числе путем выдачи и использования дисконтных карт), проведение опросов, статистических и маркетинговых исследований, использование полученных данных;
- в иных не противоречащих законодательству Республики Беларусь целях.
2.3. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность об этом субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
ГЛАВА 3 ПЕРЕЧЕНЬ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператором обрабатываются персональные данные следующих категорий субъектов:
- работников Оператора;
- членов семьи работников Оператора (в случае, предусмотренном законодательством);
- лиц, работающих по гражданско-правовым договорам;
- лиц, с которыми Оператором заключены договоры;
- представителей юридических лиц и иных организаций, с которыми Оператор взаимодействует в процессе осуществления своей деятельности;
- участников Оператора и аффилированных лиц Оператора;
- потребителей товаров (работ, услуг) Оператора;
- посетителей сайта, интернет-магазина Оператора;
- лиц, предоставивших Оператору персональные данные путем оформления подписок на рассылку, при отправке отзывов, обращений, путем заполнения анкет и подачи заявлений в ходе проводимых Оператором рекламных, маркетинговых и иных мероприятий;
- лиц, предоставивших персональные данные Оператору иным путем.
ГЛАВА 4 ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
4.1. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных целям их обработки, заявленных в настоящей Политике, или определенных в соответствии с законодательством.
4.2. В зависимости от целей обработки персональных данных и субъектов персональных данных Оператор обрабатывает следующие персональные данные:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения;
- данные о регистрации по месту проживания и (или) пребывания;
- идентификационный номер;
- сведения о месте работы;
- должность;
- фото и видео изображение;
- номер телефона;
- адрес электронной почты;
- другие сведения, определенные законодательством, в зависимости от целей обработки персональных данных, заявленных в настоящей Политике.
ГЛАВА 5 ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
5.1. Оператор обрабатывает персональные данные с использованием средств автоматизации, а также без использования средств автоматизации. Оператор совершает следующие действия по обработке персональных данных: сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, предоставление, распространение, удаление персональных данных и иные действия в соответствии с законодательством.
5.2. Оператор может предоставлять (передавать) персональные данные третьим лицам с соблюдением требований законодательства для достижения целей, заявленных Оператором в настоящей Политике или определённых законодательством. Предоставление персональных данных Оператором третьим лицам осуществляется с обязательным заключением соглашений, направленных на обеспечение конфиденциальности персональных данных.
5.3. Персональные данные могут обрабатываться от имени в интересах и по поручению Оператора уполномоченными лицами Оператора. Обработка персональных данных уполномоченными лицами осуществляется на основании договоров, актов законодательства либо решений государственных органов, предусматривающих цели обработки персональных данных, перечень действий с персональными данными, обязанности уполномоченных лиц по соблюдению конфиденциальности персональных данных, меры по обеспечению защиты персональных данных. В случае, если Оператор поручает обработку персональных данных субъектов персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия уполномоченного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.
5.4. Оператор прекращает обработку персональных данных в случае достижения целей обработки персональных данных, отзыва согласия или требования о прекращении обработки персональных данных субъекта персональных данных, отсутствия основания для обработки персональных данных, а также в иных случаях, предусмотренных законодательством о защите персональных данных.
ГЛАВА 6 ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Основные права и обязанности Оператора.
6.1.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
2) поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора, акта законодательства либо решения государственного органа;
3) получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
4) запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
5) отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе, если они являются необходимыми для заявленных целей их обработки.
6.1.2. Оператор обязан:
1) разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
2) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
3) обеспечивать защиту персональных данных в процессе их обработки;
4) принимать меры по обеспечению достоверности обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;
5) отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
6) предоставлять субъекту персональных данных информацию о его персональных данных, а также, по заявлению субъекта персональных данных, о предоставлении его персональных данных третьим лицам;
7) сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
8) исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
9) прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;
10) выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.
6.2. Основные права и обязанности субъекта персональных данных.
6.2.1. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2) требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
3) получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
4) в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
5) требовать от Оператора блокирования или удаления его персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом о персональных данных меры по защите своих прав;
6) обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством;
7) на осуществление иных прав, предусмотренных законодательством Республики Беларусь.
6.2.2. Субъект персональных данных обязан:
1) предоставлять Оператору исключительно достоверные сведения о себе;
2) в случае необходимости, предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;
3) информировать Оператора об изменениях своих персональных данных.
ГЛАВА 7 МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Оператор принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных в процессе их обработки от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. В целях защиты персональных данных Оператором утверждена настоящая Политика, а также иные локальные нормативные правовые акты, назначены ответственное лицо за внутренний контроль за обработкой персональных данных и ответственное лицо за техническую безопасность информации, установлен порядок доступа к персональным данным.
7.3. Работники Оператора, осуществляющие непосредственную обработку персональных данных, подлежат ознакомлению с настоящей Политикой и требованиями законодательства о защите персональных данных. Работникt1 Оператора, осуществляющие обработку персональных данных, подписывают обязательства о неразглашении персональных данных.
7.4. Оператор принимает иные меры, направленные на защиту персональных данных в процессе их обработки.
ГЛАВА 8 КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Контроль за соблюдением Оператором законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется уполномоченным органом по защите прав субъектов персональных данных с целью проверки соответствия обработки персональных данных Оператором законодательству Республики Беларусь и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
8.2. Внутренний контроль за соблюдением Оператором законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных у Оператора.
ГЛАВА 9 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в Политике, регулируются законодательством Республики Беларусь.
9.2. В случае если какое-либо положение Политики признается противоречащим законодательству, остальные положения, соответствующие законодательству, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствию законодательству.
9.3. Политика является внутренним документов Оператора. Оператор, при необходимости, имеет право по своему усмотрению в одностороннем порядке изменять и/или дополнять условия Политики без предварительного и/или последующего уведомления субъектов персональных данных.
9.4. За нарушение законодательства и локальных правовых актов при обработке персональных данных работники Оператора в чьи должностные обязанности входит обработка персональных данных и по чьей вине произошло такое нарушение, в зависимости от характера и степени нарушения могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
9.5. Настоящая политика вступает в силу с момента ее утверждения.