Политика в отношении обработки персональных данных
Глава 1 — ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящая Политика в отношении обработки персональных данных (далее – Политика) является основополагающим документом Совместного общества с ограниченной ответственностью «Альфаран» (далее – Общество), расположенного по адресу: г. Минск, Липковский переулок, 34, определяющим принципы, цели, способы, основания, условия и порядок обработки Обществом персональных данных.
- Настоящая Политика разработана в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», иными нормативными правовыми актами Республики Беларусь в целях обеспечения надлежащей защиты персональных данных, а также прав и законных интересов физических лиц при обработке Обществом персональных данных указанных лиц.
- Положения настоящей Политики являются правовой основой для разработки локальных правовых актов Общества, регламентирующих вопросы обработки и защиты персональных данных, обрабатываемых Обществом.
- В настоящей Политике используются следующие основные термины и их определения:
- обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- согласие на обработку персональных данных – свободное, однозначное, информированное выражение воли субъекта персональных данных, посредством которого он разрешает Обществу обработку своих персональных данных;
- персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
- потребитель – физическое лицо, имеющее намерение заказать или приобрести либо заказывающее, приобретающее товар (работу, услугу) или использующее товар (результат работы, услугу) Общества;
- предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц;
- распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
- субъект персональных данных – физическое лицо, персональные данные которого обрабатываются;
- уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с законодательством или на основании договора с Обществом осуществляют обработку персональных данных от имени Общества и в его интересах;
- физическое лицо, которое может быть идентифицировано, — физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
- Настоящая Политика является публичным документом, предназначенным для ознакомления неограниченного круга лиц посредством ее размещения в глобальной компьютерной сети Интернет на официальном сайте (-ах) Общества.
- Настоящая Политика вступает в силу с момента ее утверждения и действует без ограничения ее срока до ее изменения и (или) отмены Обществом.
Глава 2 — ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общество осуществляет обработку персональных данных, руководствуясь следующими основными принципами:
- обработка персональных данных должна осуществляться Обществом в строгом соответствии с требованиями законодательства Республики Беларусь;
- обработка персональных данных должна быть соразмерна заявленным Обществом целям их обработки, а также обеспечивать справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных должна осуществляться Обществом с согласия субъекта персональных данных или при наличии иных законных оснований, установленных законодательством Республики Беларусь;
- содержание и объем персональных данных должны соответствовать заявленным целям их обработки, не допускается обработка персональных данных, несовместимая с заявленными целями их обработки;
- обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным Обществом целям их обработки;
- хранение персональных данных должно осуществляться Обществом в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
- обработка персональных данных должна носить открытый и прозрачный характер.
Глава 3 — ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка персональных данных осуществляется Обществом на основании согласия субъекта персональных данных, полученного в письменной форме, в виде электронного документа или в иной электронной форме (в том числе посредством проставления субъектом персональных данных отметки на интернет-ресурсе Общества), либо по иным основаниям, предусмотренным законодательством.
- Наименование и местонахождение Общества, перечень и цели обработки персональных данных, перечень действий с персональными данными, информация об уполномоченных лицах, срок согласия и иная информация, необходимая для обеспечения прозрачности процесса обработки Обществом персональных данных, определяются настоящей Политикой.
- Предоставляя свое согласие на обработку персональных данных в установленной форме, субъект персональных данных дает разрешение Обществу на использование своих персональных данных в соответствии с целями, на условиях и в порядке, содержащихся в настоящей Политике. Согласие субъекта персональных данных дается на неопределенный срок. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в порядке, предусмотренном настоящей Политикой.
- Информация о правах субъекта персональных данных, связанных с обработкой персональных данных, механизм реализации таких прав, а также последствия предоставления согласия субъектом персональных данных или отказа в даче такого согласия представлена в главе 8 настоящей Политики.
- Общество обрабатывает персональные данные без согласия субъектов персональных данных по основаниям, предусмотренным законодательством:
- при оформлении трудовых отношений, а также в процессе трудовой деятельности субъектов персональных данных;
- при получении персональных данных Обществом на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- при обработке персональных данных, когда они указаны в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
- в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных;
- в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей, предусмотренных законодательством;
- в иных случаях, предусмотренных законодательством.
- В случае обработки Обществом персональных данных без согласия субъекта персональных данных цели обработки персональных данных определяются в соответствии с законодательством.
Глава 4 — МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных в процессе их обработки от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- В целях защиты персональных данных Обществом утверждена настоящая Политика, а также иные локальные нормативные правовые акты Общества, назначены ответственные лица за внутренний контроль за обработкой персональных данных, установлен порядок доступа к персональным данным субъектов персональных данных, осуществляется техническая защита персональных данных.
- Работники Общества, осуществляющие непосредственную обработку персональных данных, подлежат ознакомлению с настоящей Политикой и требованиями законодательства о защите персональных данных. Общество принимает меры, направленные на защиту персональных данных в процессе их обработки.
Глава 5 — КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
- аффилированные лица Общества;
- члены органов управления Общества;
- кандидаты на работу в Обществе;
- работники (бывшие работники) Общества;
- лица, с которыми Обществом заключены договоры;
- заявители, подавшие (подающие) обращения в Общество;
- потребители товаров (работ, услуг) Общества;
- лица, участвующие в рекламных, маркетинговых акциях, а также иных мероприятиях, осуществляемых Обществом;
- представители юридических лиц и иных организаций, с которыми Общество взаимодействует в процессе осуществления своей деятельности;
- пользователи веб-сайтов Общества;
- иные лица, персональные данные которых обрабатываются Обществом с согласия таких лиц либо на ином основании, предусмотренном законодательством.
- Общество обеспечивает соответствие содержания и объема обрабатываемых персональных данных целям их обработки, заявленным в настоящей Политике, или определенным в соответствии с законодательством.
- В зависимости от целей обработки персональных данных и субъектов персональных данных Общество обрабатывает следующие персональные данные:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения;
- номер телефона;
- адрес электронной почты;
- другие сведения, определенные законодательством в качестве основных и дополнительных персональных данных;
- иные персональные данные в зависимости от целей обработки персональных данных, заявленных в настоящей Политике или установленных законодательством.
- Общество не осуществляет обработку персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных убеждений, а также половой жизни. Специальные персональные данные обрабатываются Обществом исключительно в соответствии с целями, заявленными в настоящей Политике или установленных законодательством.
Глава 6 — ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ, УПОЛНОМОЧЕННЫЕ ЛИЦА
- Общество обрабатывает персональные данные с использованием средств автоматизации, а также без использования средств автоматизации. Общество совершает следующие действия по обработке персональных данных: сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, предоставление, распространение, удаление персональных данных и иные действия в соответствии с законодательством.
- Персональные данные могут обрабатываться от имени, в интересах и по поручению Общества уполномоченными лицами Общества, в том числе физическими и юридическими лицами, осуществляющими доставку товаров Общества, подрядчиками, исполнителями и иными контрагентами Общества. Обработка персональных данных уполномоченными лицами осуществляется на основании договоров, предусматривающих цели обработки персональных данных, перечень действий с персональными данными, обязанности уполномоченных лиц по соблюдению конфиденциальности персональных данных, меры по обеспечению персональных данных. В случае, если Общество поручает обработку персональных данных субъектов персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия уполномоченного лица несет Общество.
- Общество прекращает обработку персональных данных в случае достижения целей обработки персональных данных, отзыва согласия или требования о прекращении обработки персональных данных субъекта персональных данных, отсутствия основания для обработки персональных данных, а также в иных случаях, предусмотренных законодательством о защите персональных данных.
Глава 7 — ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общество обрабатывает персональные данные субъектов персональных данных в целях:
- исполнения обязанностей, возложенных законодательством на Общество по ведению кадрового, бухгалтерского и иного учета, составления налоговой, бухгалтерской, статистической и иных форм обязательной отчетности Общества;
- исполнения обязанностей Общества по предоставлению персональных данных в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, государственные органы, а также иные организации;
- оформления трудовых отношений, реализации прав и исполнения обязанностей Общества как нанимателя, вытекающих из трудовых и связанных с ними отношений, привлечения физических лиц для выполнения работ и (или) оказания услуг на основании гражданско-правовых договоров;
- поиска, подбора и оценки кандидатов на работу в Общество, а также совершения иных действий, предшествующих приему на работу в Общество (избрание, назначение, утверждение, конкурс), ведения кадрового резерва;
- оценки выполняемой работниками работы, контроля надлежащего исполнения работниками трудовых обязанностей, приказов и распоряжений руководства Общества, требований локальных нормативных правовых актов Общества;
- обеспечения коммуникаций с субъектами персональных данных, включая внутрикорпоративные коммуникации и внешние коммуникации с клиентами, контрагентами, потребителями, представителями организаций и иными лицами;
- обеспечения пропускного и внутриобъектового режимов в зданиях, помещениях и иных объектах Общества, охраны имущества Общества, обеспечения защиты жизни и здоровья работников Общества, потребителей, посетителей и др.;
- осуществления предусмотренных законодательными актами полномочий Общества при осуществлении предпринимательской и иной деятельности Общества; осуществления торговли аккумуляторными батареями и иными товарами, выполнения работ, оказания услуг Обществом;
- заключения, изменения и прекращения Обществом гражданско-правовых договоров (сделок), исполнения обязательств по договорам, учета таких договоров, формирования и использования базы данных контрагентов, их представителей;
- осуществления Обществом рекламных, маркетинговых мероприятий, включая реализацию программ Общества, предусматривающих предоставление скидки (бонуса) потребителям, проведения среди потребителей опросов и маркетинговых исследований;
- формирования корпоративной статистической и аналитической информации (подготовки справок и отчетов о деятельности Общества); обработки обращений субъектов персональных данных.
Глава 8 — ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Субъект персональных данных имеет следующие основные права:
- право на отзыв своего согласия на обработку персональных данных;
- право на получение информации, касающейся обработки своих персональных данных;
- право на изменение своих персональных данных;
- право на получение информации о предоставлении своих персональных данных третьим лицам;
- право требовать прекращения обработки своих персональных данных и (или) их удаления;
- право на обжалование действий (бездействия) и решений Общества, связанных с обработкой своих персональных данных.
- Субъект персональных данных вправе в любое время отказаться от своего согласия на обработку персональных данных посредством подачи Обществу заявления в порядке, установленном настоящей Политикой и законодательством. В данном случае обработка персональных данных прекращается, а персональные данные удаляются, если отсутствуют иные законные основания для их обработки, в срок не позднее 15 дней с момента получения Обществом заявления.
- Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей: наименование и местонахождение Общества и уполномоченных лиц, осуществляющих обработку его персональных данных, подтверждение факта обработки персональных данных Обществом (уполномоченным лицом), свои персональные данные и источник их получения, срок согласия, иную информацию, предусмотренную законодательством. Указанная информация предоставляется субъекту персональных данных в срок не позднее 5 рабочих дней с момента получения соответствующего заявления.
- Субъект персональных данных вправе требовать от Общества внесения изменений в свои персональные данные в случае, если его персональные данные являются неполными, устаревшими или неточными. В этом случае изменения в персональные данные субъекта персональных данных вносятся Обществом в срок не позднее 15 дней с момента получения соответствующего заявления.
- Субъект персональных данных вправе получать от Общества информацию о предоставлении своих персональных данных третьим лицам. Указанная информация предоставляется субъекту персональных данных в срок не позднее 15 дней с момента получения Обществом соответствующего заявления.
- Субъект персональных данных вправе требовать от Общества прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством. В этом случае Общество прекращает обработку персональных данных и удаляет их в срок не позднее 15 дней с момента получения соответствующего заявления от субъекта персональных данных.
- Субъект персональных данных для реализации своих прав, указанных в пунктах 25-30 настоящей Политики, подает Обществу заявление в письменной форме либо в виде электронного документа.
Заявление субъекта персональных данных должно содержать:
- фамилию, имя, отчество;
- дату рождения;
- идентификационный номер, в случае если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
- Субъект персональных данных вправе обжаловать действия (бездействие) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (учреждение «Национальный центр по защите персональных данных») в порядке, установленном законодательством об обращениях граждан и юридических лиц. Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.
- Правовым последствием предоставления субъектом персональных данных согласия на обработку своих персональных данных является возникновение у Общества права на обработку персональных данных лица, предоставившего согласие, в соответствии с целями, способами, объемом, порядком и условиями, предусмотренными в настоящей Политике. В случае отказа субъекта персональных данных от предоставления Обществу согласия на обработку персональных данных Общество не вправе обрабатывать его персональные данные, если не имеется иных оснований, предусмотренных законодательством о защите персональных данных.
- Функции по осуществлению внутреннего контроля за обработкой персональных данных возложены на директора Общества, а в части осуществления организационных и правовых мер по обеспечению защиты персональных данных, обрабатываемых Обществом, возложены на юридическую и кадровую службу Общества; в части осуществления технических мер по обеспечению защиты персональных данных, осуществления технической защиты персональных данных возложены на инженера-программиста Общества.
Глава 9 — ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
- Вопросы, касающиеся обработки персональных данных, не отраженные в настоящей Политике, регулируются законодательством о защите персональных данных, иными локальными правовыми актами Общества. В случае если какое-либо положение настоящей Политики противоречит законодательству, остальные положения Политики остаются в силе и являются действительными.
- Общество имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов персональных данных. Действующая редакция Политики доступна в открытом доступе в глобальной компьютерной сети Интернет на официальном сайте (-ах) Общества.