Title
УТВЕРЖДЕНО
приказ директора Общества с ограниченной ответственностью «ГАДЖЕТТРЭЙД»
15.11.2021 №_____ОД
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
в обществе с ограниченной ответственностью «ГАДЖЕТТРЭЙД»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки персональных данных в обществе с ограниченной ответственностью «ГАДЖЕТТРЭЙД» (далее – Политика) является локальным правовым актом, регулирующим отношения, связанные с защитой персональных данных при их обработке в обществе с ограниченной ответственностью «ГАДЖЕТТРЭЙД» (далее – Оператор). Политика направлена на обеспечение прав и свобод физических лиц при обработке их персональных данных.
1.2. Настоящая Политика разработана во исполнение требований абзаца 3 п. 3 ст. 17 Закона Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных) и в соответствии с Конституцией Республики Беларусь.
1.3. В настоящей Политике используются термины в значениях, определенных статьей 1 Закона о защите персональных данных.
1.4. Политика определяет основные принципы, цели, условия и способы обработки персональных данных, категории субъектов персональных данных, перечни обрабатываемых персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, комплекс мер по защите персональных данных, реализуемый Оператором.
1.5. Настоящая Политика опубликована в свободном доступе в глобальной информационной сети Интернет на сайте Оператора.
1.6. Политика является внутренним документом Оператора. Оператор вправе при необходимости в одностороннем порядке вносить в Политику соответствующие изменения с последующим размещением новой Политики на Сайте. Субъекты персональных данных самостоятельно получают на сайте информацию об изменениях Политики.
2. Цели сбора И ОБРАБОТКИ персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
обеспечение соблюдения законодательства Республики Беларусь;
осуществление видов экономической деятельности, предусмотренных Уставом Оператора;
подготовки коммерческих предложений, заключения и исполнения договоров;
формирования базы данных клиентов и потенциальных клиентов;
реализации действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности;
осуществление информационной и рекламной рассылки;
сбора информации через формы обратной связи, сбора статистической информации, администрирования сайта Оператора, предоставления доступа к сервисам, информации и/или материалам, содержащимся на сайте;
организации пропускного режима;
рассмотрения обращений граждан и юридических лиц.
2.4. Обработка персональных данных потенциальных, действующих и бывших работников Оператора может осуществляться в целях привлечения и отбора кандидатов на работу у Оператора, заключения и исполнения гражданско-правовых, трудовых договоров (контрактов), ведения кадрового делопроизводства, содействия работникам в получении образования, повышении квалификации, продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, соблюдения режима рабочего времени, обеспечения сохранности имущества, организации пропускного режима, организации постановки на индивидуальный (персонифицированный) учет в системе обязательного пенсионного страхования, заполнения и передачи требуемых форм отчетности, ведения бухгалтерского учета, внутрикорпоративной коммуникации и организации рабочих процессов и в иных целях в соответствии с требованиями действующего законодательства и локальных правовых актов.
3. Правовые основания, объем и категории
обрабатываемых персональных данных,
категории субъектов персональных данных
3.1. Правовыми основаниями обработки персональных данных являются действующее законодательство Республики Беларусь, устав Оператора, договоры, заключаемые между Оператором и субъектами персональных данных, согласие субъектов персональных данных на обработку их персональных данных по установленной Оператором форме.
3.2. Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
покупателей (клиентов) Оператора;
работников Оператора;
бывших работников Оператора;
родственников работников Оператора;
кандидатов на работу у Оператора;
физических лиц, являющихся контрагентами Оператора;
физических лиц, являющихся представителями (работниками) юридических лиц – контрагентов Оператора;
физических лиц (не относящихся к вышеуказанным категориям субъектов), обратившихся с заявлением (обращением, жалобой и пр.) к Оператору;
иных лиц.
3.3. Содержание и объем персональных данных каждой категории субъектов персональных данных, обрабатываемых Оператором обусловлены необходимостью достижения конкретных целей обработки и определены в Приложении к настоящей Политике.
3.4. В процессе исполнения взаимных обязанностей и реализации прав Оператором и субъектами персональных данных, допускается возникновение объективной и законной потребности в обработке Оператором иных персональных данных, не указанных в Приложении.
4. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъект персональных данных имеет право:
получать информацию, касающуюся обработки своих персональных данных, содержащую: наименование и место нахождения Оператора; подтверждение факта обработки персональных данных Оператором (уполномоченным лицом, при его наличии); его персональные данные и источник их получения; правовые основания и цели обработки персональных данных; срок, на который дано его согласие; иную информацию, предусмотренную законодательством на основании поданного заявления;
требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
получать информацию о предоставлении его персональных данных третьим лицам бесплатно не чаще одного раза в год, за исключением случаев, предусмотренных законодательством Республики Беларусь;
в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных настоящей Политикой, Законом о персональных данных и иными законодательными актами;
обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных – Национальный центр по защите персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц;
принимать иные предусмотренные законом меры по защите своих прав.
4.2. Субъект персональных данных обязан:
предоставлять Оператору достоверные и полные персональные данные;
своевременно сообщать Оператору об изменениях своих персональных данных.
4.3. Заявление субъекта персональных данных должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
4.4. Заявление может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Республики Беларусь.
4.5. Оператор имеет право:
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
осуществлять иные права, в соответствии с законодательством Республики Беларусь в области обработки и защиты персональных данных.
4.6. Оператор обязан:
организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных на обработку персональных данных, в том числе в случае необходимости изменения первоначально заявленных целей обработки персональных данных при отсутствии иных оснований для такой обработки, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
в течение пяти рабочих дней после получения заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, касающуюся обработки своих персональных данных, либо уведомить его о причинах отказа в ее предоставлении;
в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставить ему информацию о предоставлении его персональных данных третьим лицам в течение года, предшествовавшего дате подачи заявления, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении;
принимать меры по обеспечению достоверности, обрабатываемых им персональных данных путем внесения изменений в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
в пятнадцатидневный срок после получения заявления субъекта персональных данных вносить соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;
в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о персональных данных и иными законодательными актами;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
выполнять иные обязанности, предусмотренные Законом персональных данных и иными законодательными актами.
5. КОМПЛЕКС МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
ОСУЩЕСТВЛЕНИЕ КОНТРОЛЯ. ОТВЕТСТВЕННОСТЬ
5.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения, а также иных неправомерных действий, в том числе:
назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
принимает локальные правовые акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных;
организует обучение работников Оператора, осуществляющих обработку персональных данных в порядке, установленном законодательством;
устанавливает порядок доступа к персональным данным;
определяет угрозы безопасности персональных данных при их обработке;
назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
организует работу с информационными системами, в которых обрабатываются персональные данные;
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам;
предоставляет возможность ознакомления с персональными данными при обращении и (или) поступлении запросов субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
не допускает раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных;
публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
5.2. Внутренний контроль за исполнением требований Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.
5.3. Ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь. Виновные лица могут быть привлечены к дисциплинарной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Республики Беларусь.
Приложение
к Политике в отношении обработки персональных данных в Обществе с органичной ответственностью «ГАДЖЕТТРЭЙД»
№ п/п |
Категория субъекта персональных данных |
Содержание и объем персональных данных |
1 |
Покупатели (клиенты)
|
Фамилия, имя, отчество (если таковое имеется) число, месяц, год рождения; пол; данные о гражданстве (подданстве); данные о регистрации по месту жительства и месту пребывания; паспортные данные или данные иного документа, удостоверяющего личность (серия и номер, дата выдачи, наименование органа, выдавшего документ); идентификационный номер; сведения о месте работы (учебы, службы) и должности; сведения о социальных льготах; контактные данные (номер рабочего и мобильного телефонов, электронной почты и пр.); изображение с камер видеонаблюдения (аудиозапись, видеозапись); личная подпись субъекта персональных данных; иные данные* |
2 |
Работники Оператора |
Фамилия, имя, отчество (если таковое имеется) число, месяц, год рождения; место рождения; пол; данные о регистрации по месту жительства (адрес, дата регистрации) и месту пребывания; паспортные данные или данные иного документа, удостоверяющего личность (серия и номер, дата выдачи, наименование органа, выдавшего документ); идентификационный номер; данные о гражданстве (подданстве); фотографическое изображение, изображение с камер видеонаблюдения (аудиозапись, видеозапись); о семейном положении, составе семьи, супруге, ребенке (детях), родителях, опекунах, попечителях; об образовании, ученой степени, ученом звании; о переподготовке, повышении квалификации, присвоении категории; о социальных льготах и выплатах (о всех видах пенсий, об инвалидности, об участии в ликвидации аварии на ЧАЭС, о том, что субъект является пострадавшим от аварии на ЧАЭС и пр.); индивидуальная программа реабилитации инвалида, заключение МРЭК; номер страхового свидетельства государственного социального страхования; об исполнении воинской обязанности; о прежних местах работы; сведения о награждениях и поощрениях; сведения, содержащиеся в характеристике с прежнего места работы; реквизиты банковского счета; о членстве в профсоюзах; о состоянии здоровья; данные о смерти или объявлении физлица умершим; контактные данные (номер рабочего и мобильного телефонов, электронной почты и пр.); личная подпись субъекта персональных данных; иные данные* |
3 |
Бывшие работники Оператора
|
Фамилия, имя, отчество (если таковое имеется) число, месяц, год рождения; место рождения; пол; данные о регистрации по месту жительства (адрес, дата регистрации) и месту пребывания;
паспортные данные или данные иного документа, удостоверяющего личность (серия и номер, дата выдачи, наименование органа, выдавшего документ); идентификационный номер; данные о гражданстве (подданстве); фотографическое изображение, изображение с камер видеонаблюдения (аудиозапись, видеозапись); о семейном положении, составе семьи, супруге, ребенке (детях), родителях, опекунах, попечителях; об образовании, ученой степени, ученом звании; о переподготовке, повышении квалификации, присвоении категории; о социальных льготах и выплатах (о всех видах пенсий, об инвалидности, об участии в ликвидации аварии на ЧАЭС, о том, что субъект является пострадавшим от аварии на ЧАЭС и пр.); индивидуальная программа реабилитации инвалида, заключение МРЭК; об исполнении воинской обязанности; номер страхового свидетельства государственного социального страхования; о прежних местах работы; сведения, содержащиеся в характеристике с прежнего места работы; сведения о награждениях и поощрениях; реквизиты банковского счета; о членстве в профсоюзах; справка о состоянии здоровья; данные о смерти или объявлении физлица умершим; сведения из листка нетрудоспособности; контактные данные (номер рабочего и мобильного телефонов, электронной почты и пр.); личная подпись субъекта персональных данных; иные данные* |
4 |
Родственники работников Оператора
|
Фамилия, имя, отчество (если таковое имеется) число, месяц, год рождения; данные о регистрации по месту жительства (адрес, дата регистрации) и месту пребывания; паспортные данные или данные иного документа, удостоверяющего личность (серия и номер, дата выдачи, наименование органа, выдавшего документ); о семейном положении, составе семьи, местах работы или учебы; о социальных льготах и выплатах; о состоянии здоровья (инвалидности и пр.); данные о смерти или объявлении физлица умершим; контактные данные (номер рабочего и мобильного телефонов, электронной почты и пр.); иные данные* |
5 |
Кандидаты на работу у Оператора |
Фамилия, имя, отчество (если таковое имеется) число, месяц, год рождения; место рождения; пол; данные о регистрации по месту жительства (адрес, дата регистрации) и месту пребывания; паспортные данные или данные иного документа, удостоверяющего личность (серия и номер, дата выдачи, наименование органа, выдавшего документ); идентификационный номер; данные о гражданстве (подданстве); фотографическое изображение, изображение с камер видеонаблюдения (аудиозапись, видеозапись); о семейном положении, составе семьи, супруге, ребенке (детях), родителях, опекунах, попечителях; об образовании, ученой степени, ученом звании; о переподготовке, повышении квалификации, присвоении категории; сведения о трудовой деятельности (включая стаж, опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и пр.); сведения о награждениях и поощрениях; сведения, содержащиеся в характеристике с прежнего места работы; номер страхового свидетельства государственного социального страхования; о социальных льготах и выплатах (о всех видах пенсий, об инвалидности, об участии в ликвидации аварии на ЧАЭС, о том, что субъект является пострадавшим от аварии на ЧАЭС и пр.); индивидуальная программа реабилитации инвалида, заключение МРЭК; об исполнении воинской обязанности; о членстве в профсоюзах; справка о состоянии здоровья; сведения, указанные самим кандидатом в резюме; контактные данные (номер рабочего и мобильного телефонов, электронной почты и пр.); личная подпись субъекта персональных данных; иные данные* |
6 |
Физические лица, являющиеся контрагентами Оператора |
Фамилия, имя, отчество (если таковое имеется); гражданство; адрес регистрации по месту жительства и месту пребывания; паспортные данные или данные иного документа, удостоверяющего личность (серия и номер, дата выдачи, наименование органа, выдавшего документ); идентификационный номер; реквизиты банковского счета; учетный номер налогоплательщика; сведения об образовании, специальности, профессии, квалификации; сведения, содержащиеся в свидетельстве о государственной регистрации индивидуального предпринимателя (в том числе регистрационный номер, кем и когда зарегистрирован); контактные данные (номер рабочего и мобильного телефонов, электронной почты и пр.); личная подпись субъекта персональных данных; изображение с камер видеонаблюдения (аудиозапись, видеозапись); иные данные* |
7 |
Физические лица, являющиеся представителями (работниками) юридических лиц - контрагентов Оператора |
Фамилия, имя, отчество (если таковое имеется) адрес регистрации по месту жительства; паспортные данные или данные иного документа, удостоверяющего личность (серия и номер, дата выдачи, наименование органа, выдавшего документ); сведения о месте работы и занимаемой должности; контактные данные (номер рабочего и мобильного телефонов, электронной почты и пр.); личная подпись субъекта персональных данных; изображение с камер видеонаблюдения (аудиозапись, видеозапись); иные данные* |
8 |
Физические лица (не относящиеся к вышеуказанным категориям субъектов), обратившиеся с заявлением (обращением, жалобой и пр.) к Оператору |
Фамилия, имя, отчество (если таковое имеется) адрес регистрации по месту жительства или месту пребывания; личная подпись субъекта персональных данных. иные данные* |
______________________________
*иные данные – персональные данные, объективная и законная потребность в обработке которых может возникнуть в процессе взаимной реализации прав и исполнении обязанностей Оператором и субъектами персональных данных