Политика об обработке и защите персональных данных
Общество с ограниченной ответственностью «ДФС» |
УТВЕРЖДЕНО Приказом директором ООО “ДФС” от 26.12.2023 №7 |
ПОЛИТИКА № 1
26.12.2023
г. Минск
Об обработке и защите персональных данных в ООО “ДФС”
Настоящая Политика об обработке и защите персональных данных в Обществе с ограниченной ответственностью «ДФС» (далее – Политика) разработана на основании Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее – Закон №99-З), иных актов законодательства Республики Беларусь, а также локальных правовых актов ООО “ДФС” (далее – ЛПА Общества).
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика распространяет свое действие на случаи, когда ООО “ДФС” (далее – Общество) является как оператором, так и уполномоченным лицом.
1.2. Настоящая Политика устанавливает:
1.2.1. общие подходы обработки и защиты персональных данных;
1.2.2. правовые основания обработки персональных данных;
1.2.3. цели обработки персональных данных;
1.2.4. категории субъектов персональных данных, чьи персональные данные подвергаются обработке;
1.2.5. перечень обрабатываемых персональных данных;
1.2.6. порядок и условия обработки персональных данных, в том числе порядок трансграничной передачи персональных данных;
1.2.7. права и обязанности субъектов персональных данных;
1.2.8. порядок подачи субъектами персональных данных заявлений, направленных на реализацию их прав.
1.3. Настоящая Политика является правовой основой для организации в Обществе работы по обработке и защите персональных данных, в том числе для разработки иных локальных правовых актов, регламентирующих процесс и особенности обработки персональных данных в Обществе.
1.4. Директор Общества (лицо, исполняющее его обязанности) вправе утверждать (вносить изменения, отменять) документы, не являющиеся ЛПА Общества, определяющие политику Общества в отношении обработки персональных данных и представляющие собой краткое и упрощенное изложение настоящей Политики и (или) иных ЛПА Общества в целях доведения данных документов и (или) обеспечения к ним доступа в соответствии с законодательством и рекомендациями уполномоченного органа до любых заинтересованных лиц.
1.5. Требования настоящей Политики являются обязательными для исполнения всеми работниками Общества, его структурными подразделениями.
2. ОБЩИЕ ПОДХОДЫ В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка Обществом персональных данных осуществляется в соответствии с Законом №99-З, иным законодательством Республики Беларусь, а также ЛПА Общества.
2.2. Общество обрабатывает персональные данные:
2.2.1. соразмерно заявленным целям их обработки;
2.2.2. обеспечивая на всех этапах обработки справедливое соотношение интересов всех заинтересованных лиц;
2.2.3. с согласия субъекта персональных данных или по иным основаниям, предусмотренным законодательными актами Республики Беларусь;
2.2.4. ограничиваясь достижением конкретных, заранее заявленных законных целей, не допуская обработку персональных данных, не совместимую с первоначально заявленными целями их обработки;
2.2.5. по содержанию и в объеме, соответствующих заявленным целям их обработки, не допуская избыточность по отношению к заявленным целям их обработки;
2.2.6. на прозрачной основе (обработка персональных данных носит прозрачный характер);
2.2.7. принимая меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости обновляя их;
2.2.8. осуществляя хранение персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
2.2.9. обеспечивая защиту персональных данных на всех этапах их обработки, гарантируя конфиденциальность персональных данных, а также используя риск-ориентированный подход для обеспечения достаточного уровня защищенности.
2.3. Конкретные категории субъектов персональных данных, виды обрабатываемых Обществом персональных данных, цели обработки, способы и действия по обработке персональных данных, а также состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных:
2.3.1. определяются применительно к каждому процессу, виду (типу) операций, виду деятельности Общества в зависимости от:
2.3.1.1. требований законодательства Республики Беларусь, договоров, заключенных Обществом;
2.3.1.2. подходов, принципов, стратегии и иной политики Общества;
2.3.1.3. объема, существа, значения и характера соответствующего процесса, вида (типа) операций, вида деятельности Общества;
2.3.2. предусматриваются в:
2.3.2.1. ЛПА Общества;
2.3.2.2. документах, описывающих правила работы (использования) программных комплексов (средств) Общества, площадках в интернете, мобильных приложениях и сайтах Общества;
2.3.2.3. законодательстве Республики Беларусь.
2.4. В Обществе создается и ведется Перечень персональных данных, обрабатываемых в ООО «ДФС».
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка Обществом персональных данных на основании согласия субъекта персональных осуществляется в целях:
3.1.1. поиска, привлечения, отбора и ведения учета кандидатов на работу в Обществе;
3.1.2. проведения Обществом, рекламных и мотивационных акций, иных рекламных мероприятий;
3.1.3. размещения (предоставления, направления) рекламы, справочной информации об Обществе, его деятельности, органах управления и работниках;
3.1.4. определенных оператором в случаях, когда Общество является уполномоченным лицом;
3.1.5. анализа потребительских (клиентских) предпочтений и заинтересованности в услугах Общества, иных объектах гражданских прав, а также сервисах;
3.1.6. анализа качества услуг, иных объектов гражданских прав, реализуемых Обществом, иных аспектов деятельности Общества, в том числе его работников;
3.1.7. осуществления коммуникаций с субъектами персональных данных, в том числе с использованием удаленных каналов связи, в частности, направление (предоставление) уведомлений (сообщений, предложений, запросов) справочно-информационного характера;
3.2. Обработка Обществом персональных данных без согласия субъекта персональных данных осуществляется в целях:
3.2.1. заключения, исполнения, изменения и прекращения с Обществом трудовых и иных договоров в сфере трудовых и связанных с ними отношений, в том числе идентификации лиц, принимаемых на работу, а также связанных с ними лиц, ведения кадровой работы, организации учета рабочего времени, контроля трудовой (исполнительской) дисциплины, привлечения к ответственности, рассмотрения трудовых споров;
3.2.2. заключения (совершения), исполнения, изменения и прекращения с Обществом и его контрагентами гражданско-правовых и иных договоров, а также односторонних сделок, в том числе идентификации и (или) аутентификации клиентов и других контрагентов, их представителей, бенефициарных собственников и иных связанных с ними лиц;
3.2.3. обращения Общества в суд, правоохранительные и контролирующие (надзорные) органы, в нотариат, органы принудительного исполнения судебных постановлений и иных исполнительных документов, к другим уполномоченным органам (организациям, лицам) за защитой и реализацией своих прав и законных интересов;
3.2.4. осуществления Обществом административных процедур;
3.2.5. рассмотрения Обществом обращений граждан и юридических лиц в соответствии с Законом Республики Беларусь от 18.07.2011 № 300-З «Об обращениях граждан и юридических лиц»;
3.2.6. предоставления Обществом информации по запросам уполномоченных органов (организаций, лиц) или в силу требований законодательства Республики Беларусь;
3.2.7. определения и ведения учета аффилированных лиц, взаимосвязанных, взаимозависимых лиц Общества, а также лиц, входящих согласно антимонопольному законодательству в группу лиц с Обществом;
3.2.8. определенных оператором, в случаях, когда Общество является уполномоченным лицом;
3.2.9. заключения, исполнения, изменения и прекращения договора, заключаемого (заключенного) с лицом, не являющимся субъектом персональных данных;
3.2.10. формирование управленческой, статистической и иной отчетности;
3.2.11. осуществления разработки, модификации, настройки, технической поддержки (сопровождения) программных комплексов (средств) Общества;
3.2.12. проведение аудита деятельности Общества, его бухгалтерской (финансовой) и иной отчетности (документации);
3.2.13. хранения и учета документов в соответствии с законодательством в сфере архивного дела и делопроизводства.
3.3. Обществом могут использоваться системы видеонаблюдения, в рамках которых могут быть получены изображения физических лиц, как работников, так и посетителей, а также иная информация, представляющая собой сведения о частной жизни физического лица и (или) его персональные данные.
4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОДВЕРГАЮТСЯ ОБРАБОТКЕ
4.1. Общество обрабатывает персональные данные:
4.1.1. кандидатов на работу в Общество;
4.1.2. работников (бывших работников) Общества;
4.1.3. студентов, магистрантов и иных лиц, проходящих (проходивших) в Обществе практику;
4.1.4. физических лиц, занимающих (ранее занимавших) должности в органах управления Общества на основании гражданско-правовых договоров;
4.1.5. потенциальных, действующих и бывших клиентов и других контрагентов Общества (в том числе посетителей сайта и пользователей мобильного приложения);
4.1.6. физических лиц, подающих (подавших) Обществу обращения граждан, а также заявления (жалобы, ходатайства, иные документы), не являющиеся обращениями граждан;
4.1.7. физических лиц, обратившихся за осуществлением административных процедур;
4.1.8. посетителей Общества, в том числе приглашенных гостей, участников корпоративных, образовательных и иных мероприятий;
4.1.9. физических лиц, относящихся к аффилированным лицам, взаимосвязанным, взаимозависимым лицам Общества, а также лицам, входящим согласно антимонопольному законодательству в группу лиц с Обществом;
4.1.10. физических лиц, определенных оператором в случаях, когда Общество является уполномоченным лицом;
4.1.11. родственников и супругов физических лиц, указанных в подпунктах 4.1.1, 4.1.2, 4.1.4, 4.1.9, 4.1.10 настоящего пункта;
4.1.12. работников физических лиц, указанных в подпунктах 4.1.5, 4.1.9, 4.1.10 настоящего пункта;
4.1.13. работников юридических лиц и индивидуальных предпринимателей и иных связанных с ними физических лиц, являющихся по отношению к Обществу клиентами и другими контрагентами, учредителями, участниками, аффилированными лицами, взаимосвязанными, взаимозависимыми лицами, а также лицами, входящими согласно антимонопольному законодательству в группу лиц с Обществом;
4.1.14. физических лиц, осуществляющих функции органов управления юридических лиц, указанных в подпункте 4.1.4. настоящего пункта;
4.1.15. работников юридических лиц и индивидуальных предпринимателей и иных связанных с ними физических лиц, осуществляющих функции органов управления юридических лиц, указанных в подпункте 4.1.14 настоящего пункта;
4.1.16. представителей физических лиц, указанных в подпунктах 4.1.1 – 4.1.15 настоящего пункта;
4.1.17. других категорий субъектов персональных данных.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Общество использует следующие способы обработки персональных данных:
5.1.1. неавтоматизированная обработка персональных данных, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы);
5.1.2. автоматизированная обработка персональных данных;
5.1.3. смешанная обработка персональных данных.
5.2. Обработка персональных данных включает:
5.2.1. сбор;
5.2.2. систематизацию;
5.2.3. хранение;
5.2.4. изменение;
5.2.5. использование;
5.2.6. обезличивание;
5.2.7. блокирование;
5.2.8. предоставление;
5.2.9. удаление;
5.2.10. иные действия (их совокупность), совершаемые с персональными данными.
5.3. В случае, если обработка персональных данных осуществляется Обществом в статусе уполномоченного лица, такая обработка осуществляется способами и действиями, определенными оператором, а также законодательством Республики Беларусь.
5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством Республики Беларусь, договором, заключенным с субъектом персональных данных.
5.5. Условием прекращения обработки персональных данных являются:
5.5.1. достижение целей обработки персональных данных;
5.5.2. истечение срока действия согласия субъекта персональных данных на обработку персональных данных;
5.5.3. отзыв согласия субъекта персональных данных на обработку персональных данных;
5.5.4. прекращение иных правовых оснований для обработки персональных данных;
5.5.5. требование субъекта персональных данных о прекращении обработки и (или) удалении персональных данных;
5.5.6. выявление (установление) факта неправомерной обработки персональных данных;
5.5.7. требование уполномоченного органа по защите прав субъектов персональных данных, иных уполномоченных органов (организаций, лиц).
В случае достижения цели обработки персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 15 дней с даты достижения цели обработки персональных данных, если законодательством не установлены иные сроки.
Порядок уничтожения персональных данных определяется в соответствующем локальном правовом акте Общества.
5.6. Общество осуществляет трансграничную передачу персональных данных:
5.6.1. без отдельного согласия субъекта персональных данных – в страны, обеспечивающие надлежащий уровень защиты прав субъектов персональных данных;
5.6.2. с информированного согласия субъекта персональных данных, а также по иным правовым основаниям – в страны, в которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных;
5.6.3. на основании соответствующего разрешения уполномоченного органа по защите прав субъектов персональных данных;
5.7. Общество передает данные:
5.7.1 лицам, оказывающим Обществу услуги по:
- регистрации на сайте;
- сбору, безопасному хранении данных;
- проведению статистических и маркетинговых исследований;
- хостинга;
- техническому обслуживанию программных ресурсов;
5.7.2. судам, правоохранительным и иным уполномоченным государственным органам (организациям);
5.7.3. контрагентам Общества, привлекаемым (привлеченным) им для исполнения договоров перед субъектом персональных данных (в пользу или в интересах субъектов персональных данных): партнерам Общества в рамках совместных программ и (или) заключенных партнерских договоров (договоров о сотрудничестве);
5.7.4. контрагентам Общества, привлекаемым (привлеченным) им для обеспечения (защиты) прав и законных интересов Общества, в том числе связанных с судебными спорами.
6. ПРАВА И ОБЯЗАННОСТИ
СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБЩЕСТВА
6.1. Субъекты персональных данных вправе:
6.1.1. в любое время без объяснения причин отозвать свое согласие, предоставленное ими Обществу, являющегося оператором;
6.1.2. на получение от Общества, являющегося оператором, информации, касающейся обработки своих персональных данных;
6.1.3. требовать от Общества, являющегося оператором, внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
6.1.4. получать от Общества, являющегося оператором, информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательными актами Республики Беларусь.
6.1.5. требовать от Общества, являющегося оператором, бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами Республики Беларусь;
6.1.6. обжаловать действия (бездействие) и решения Общества, являющегося оператором, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц. Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством Республики Беларусь;
6.1.7. имеют иные права, предусмотренные законодательством Республики Беларусь, а также заключенными с Обществом договорами.
6.2. Общество:
6.2.1. являющееся оператором имеет право:
6.2.1.1. обрабатывать персональные данные;
6.2.1.2. в случаях, предусмотренных законодательством Республики Беларусь, договором, заключенным с Обществом, а также по требованию Общества, не противоречащему законодательству Республики Беларусь и указанному договору, требовать предоставления субъектом персональных данных документов (их копий), содержащих персональные данные и (или) подтверждающих их;
6.2.1.3. отказать субъекту персональных данных в реализации его прав в случаях, предусмотренных законодательными актами Республики Беларусь;
6.2.1.4. поручить обработку персональных данных уполномоченным лицам;
6.2.1.5. имеет иные права, предусмотренные законодательством Республики Беларусь, а также заключенными с субъектом персональных данных договорами;
6.2.2. являющееся уполномоченным лицом имеет право:
6.2.2.1. обрабатывать персональные данные в соответствии с договором, заключенным между Обществом и оператором;
6.2.2.2. отказать оператору в реализации прав субъекта персональных данных в случаях, предусмотренных законодательными актами Республики Беларусь, если иное не вытекает из договора, заключенного между Обществом и оператором;
6.2.2.3. имеет иные права, предусмотренные законодательством Республики Беларусь, а также заключенным с оператором договором;
6.3. Общество:
6.3.1. являющееся оператором, обязано:
6.3.1.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
6.3.1.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами Республики Беларусь;
6.3.1.3. обеспечивать защиту персональных данных в процессе их обработки;
6.3.1.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами Республики Беларусь;
6.3.1.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными;
6.3.1.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами Республики Беларусь;
6.3.1.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
6.3.1.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами Республики Беларусь;
6.3.1.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
6.3.2. являющееся уполномоченным лицом, обязано:
6.3.2.1. соблюдать требования к обработке персональных данных в соответствии с договором, заключенным между Обществом и оператором;
6.3.2.2. выполнять указания (требования) оператора, в том числе связанные с реализацией субъектом персональных данных своих прав;
6.3.2.3. информировать оператора о поступившем ему заявлении субъекта персональных данных о реализации последним своих прав;
6.3.2.4. исполняет иные обязанности, предусмотренные договором, заключенным с оператором;
6.3.2.5. выполняет иные обязанности, предусмотренные законодательными актами Республики Беларусь.
7. ПОРЯДОК ПОДАЧИ СУБЪЕКТАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗАЯВЛЕНИЙ, НАПРАВЛЕННЫХ НА РЕАЛИЗАЦИЮ ИХ ПРАВ
7.1. Субъект персональных данных для реализации прав, предусмотренных подпунктами 6.1.1 – 6.1.5 пункта 6.1 настоящего Положения, подает Обществу, являющемуся оператором, заявление в письменной форме либо в виде электронного документа.
7.2. Заявление субъекта персональных данных должно содержать:
7.2.1. фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
7.2.2. дату рождения субъекта персональных данных;
7.2.3. идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
7.2.4. изложение сути требований субъекта персональных данных;
7.2.5. личную подпись либо электронную цифровую подпись субъекта персональных данных.
7.3. В сроки, установленные законодательством, Общество рассматривает заявление субъекта персональных данных, по результатам рассмотрения субъекты персональных данных направляется ответ в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
7.4. Общество вправе отказать субъекту персональных данных в удовлетворении требований, указанных в заявлении, в случаях, предусмотренных законодательством.
7.5. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Обществе, направив сообщение на электронный адрес: info@finstore.by.
8. МЕРЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРИНИМАЕМЫЕ В ОБЩЕСТВЕ
8.1. Общество применяет правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
8.2. Общество для защиты персональных данных:
8.2.1. разрабатывает и утверждает локальные правовые нормы о защите персональных данных;
8.2.2. назначает лицо, ответственное за внутренний контроль за обработкой персональных данных в Обществе;
8.2.3. определяет и закрепляет перечень персональных данных;
8.2.5. организует учет хранения и удаления носителей персональных данных;
8.2.6. ведет учет лиц, получивших доступ к персональным данным или лиц, которым предоставлена или передана такая информация;
8.2.7. организует контроль доступа в помещения Общества, где хранятся персональные данные;
8.2.8. заключает с лицами, получившими доступ к персональным данным, обязательства о соблюдении порядка обработки персональных данных. Включает условия о правах, обязанности и ответственности в области обработки и защиты персональных данных в трудовые и гражданско-правовые договоры, заключенные с этими лицами;
8.2.9. наносит грифы конфиденциальности на документы, содержащие информацию, составляющую персональные данные;
8.2.10. обучает работников, получивших доступ к персональным данным, правилам обработки и методам защиты персональных данных. Периодически проверяет знания норм и требований в области защиты персональных данных;
8.2.11. знакомит работников Общества с требованиями законодательства Республики Беларусь и локальных правовых актов Общества в области обработки и защиты персональных данных;
8.2.12. организует и ведет конфиденциальное делопроизводство;
8.2.13. применяет средства и методы технической защиты конфиденциальности информации: устанавливает замки, решетки, механические, электромеханические и электронные устройства охраны;
8.2.14. своевременно выявляет и устраняет угрозы безопасности персональных данных;
8.2.15. классифицирует персональные данные, согласно положениям и требованиям законодательства Республики Беларусь, и определение соответствующих мер защиты Персональных данных.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Во всем ином, что не урегулировано настоящей Политикой, применяются положения Устава Общества, локальных правовых актов Общества и действующего законодательства Республики Беларусь.
9.2. Настоящая Политика вступает в силу с 03.01.2024.