ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее - Политика) в ООО «Экстрасервис» (далее - Организация) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции Организации при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Организации меры по защите персональных данных.
1.2. Политика не применяется к обработке персональных данных в процессе трудовой деятельности и при осуществлении административных процедур, при видеонаблюдении, а также при обработке файлов-cookie.
1.3. Политика является общедоступным документом Организации и предусматривает возможность ознакомления с ней любых лиц. Настоящая Политика размещается в открытом доступе на официальном интернет-сайте Организации: www.extraservice.by.
1.4. Политика разработана на основании и во исполнение:
˗ Конституции Республики Беларусь;
˗ Трудового кодекса Республики Беларусь;
˗ Закона Республики Беларусь от 07 мая 2021 года № 99-З «О защите персональных данных» (далее - Закон);
˗ Закона Республики Беларусь от 21 июля 2008 года № 418-З «О регистре населения»;
˗ Закона Республики Беларусь от 10 ноября 2008 года № 455-З «Об информации, информатизации и защите информации»;
˗ Указа Президента Республики Беларусь от 28 октября 2021 года № 422 «О мерах по совершенствованию защиты персональных данных»;
˗ иных нормативных правовых актов Республики Беларусь.
ГЛАВА 2
ОСНОВНЫЕ ПОНЯТИЯ
2.1. В настоящей Политике используются следующие основные понятия и термины:
2.1.1. Оператор – Организация, самостоятельно или совместно с иными указанными лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.1.2. персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
2.1.3. биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
2.1.4. генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
2.1.5. специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
2.1.6. общедоступные персональные данные – персональные данные, распространённые самим субъектом персональных данных либо с его согласия или распространённые в соответствии с требованиями законодательных актов;
2.1.7. субъект персональных данных - физическое лицо, к которому относятся обрабатываемые Организацией персональные данные, в том числе физическое лицо, не являющееся работником Организации, к которому относятся обрабатываемые Организацией персональные данные;
2.1.8. обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая:
˗ запись;
˗ систематизацию;
˗ накопление;
˗ хранение;
˗ уточнение (обновление, изменение);
˗ загрузка, просмотр;
˗ извлечение;
˗ использование;
˗ передачу (предоставление, распространение, доступ, трансграничная передача);
˗ обезличивание;
˗ блокирование;
˗ удаление.
2.1.9. обработка персональных данных с использованием средств автоматизации - обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее;
2.1.10. обработка персональных данных без использования средств автоматизации - действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);
2.1.11. распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
2.1.12. предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
2.1.13. блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
2.1.14. удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
2.1.15. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.1.16. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;
2.1.17. физическое лицо, которое может быть идентифицировано - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Организация обрабатывает персональные данные следующих категорий субъектов:
3.1.1. работников, в том числе бывших работников, и иных представителей Организации;
3.1.2. близких родственников, членов семей работников;
3.1.3. кандидатов на рабочие места;
3.1.4. работников и иных представителей юридических лиц – действующих, потенциальных, бывших контрагентов Организации;
3.1.5. физических лиц, индивидуальных предпринимателей – действующих, потенциальных, бывших контрагентов Организации контрагентов Организации;
3.1.6. иных субъектов, взаимодействие которых с Организацией создает необходимость обработки персональных данных, включая посетителей Организации, посетителей интернет-сайта Организации; лиц, предоставивших Организации персональные данные при отправке отзывов, обращений, путем заполнения анкет в ходе проводимых Организацией рекламных и иных мероприятий; лиц, предоставивших персональные данные Организации иным путем.
ГЛАВА 4
СОДЕРЖАНИЕ И ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Перечень персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Организации реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
4.2. Перечень персональных данных работников, в том числе бывших работников Организации, близких родственников, членов семей работников, кандидатов на рабочие места, обрабатываемых Организацией, установлен Политикой обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур, утвержденной Организацией.
4.3. Персональные данные работников и иных представителей юридических лиц - действующих, потенциальных, бывших контрагентов Организации включают:
а) фамилию, собственное имя, отчество;
б) паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
в) сведения о регистрации по месту жительства (включая адрес, дату регистрации);
г) контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.);
д) должность;
е) иные данные, необходимые для исполнения взаимных прав и обязанностей между Организацией и контрагентом.
4.4. Персональные данные физических лиц, индивидуальных предпринимателей – действующих, потенциальных, бывших контрагентов Организации включают:
а) фамилию, собственное имя, отчество;
б) гражданство;
в) паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
г) сведения о регистрации по месту жительства (включая адрес, дату регистрации);
д) реквизиты банковского счета (при наличии);
е) идентификационный номер (для физических лиц);
ж) учетный номер плательщика (для индивидуальных предпринимателей);
з) контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
и) данные свидетельства о государственной регистрации (для индивидуальных предпринимателей);
к) иные данные, необходимые для исполнения прав и обязанностей Организации.
4.5. Персональные данные иных субъектов, взаимодействие которых с Организацией создает необходимость обработки персональных данных, включают:
а) фамилию, собственное имя, отчество;
б) контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
в) паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
г) сведения о регистрации по месту жительства (включая адрес, дату регистрации);
д) иные данные, необходимые для исполнения прав и обязанностей Организации.
4.6. Для анализа работы интернет-ресурсов, сайтов и сервисов Организация может обрабатывать иные сведения, собираемые в автоматическом режиме:
а) IP-адреса устройств, с помощью которых посещаются сайты, интернет-ресурсы и сервисы Организации;
б) тип устройства, дата и время посещения, обновления и удаления данных;
в) сведения о действиях на сайтах, включая информацию о просматриваемой рекламе, использовании сервисов сайтов, файлы «cookies», в том числе с использованием метрических программ (систем) Google Analytics, Google Tag Manager и других.
ГЛАВА 5
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных субъектов основывается на следующих принципах:
5.1.1. обработка персональных данных осуществляется в соответствии с Законом и иными актами законодательства;
5.1.2. обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
5.1.3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
5.1.4. обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
5.1.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
5.1.6. обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
5.1.7. Оператор обязан принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
5.1.8. хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
ГЛАВА 6
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
|
№ п/п |
Цели обработки |
Категории субъектов персональных данных, чьи данные обрабатываются |
Перечень обрабатываемых персональных данных |
Правовые основания обработки персональных данных |
Срок хранения |
|
6.1. |
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОСУЩЕСТВЛЕНИИ ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТИ |
||||
|
6.1.1. |
Заключение, исполнение, изменение и прекращение гражданско-правовых договоров с контрагентами-юридическими лицами |
Представители юридических лиц- действующих, потенциальных, бывших контрагентов Организации |
- фамилия, собственное имя, отчество (при наличии); - должность лица, ответственного за подписание договора; - номер телефона; - адрес электронной почты; - иные данные в соответствии с условиями договора (при необходимости). |
обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац 20 статьи 6 Закона, статья 49, пункт 5 статьи 186 Гражданского кодекса Республики Беларусь) |
3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства.
если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора. |
|
6.1.2. |
Заключение, исполнение, изменение и прекращение гражданско-правовых договоров с контрагентами-индивидуальными предпринимателями и физическими лицами |
Индивидуальные предприниматели и физические лица - действующие, потенциальные, бывшие контрагенты Организации |
- фамилия, собственное имя, отчество (при наличии); - гражданство; - паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.); - сведения о регистрации по месту жительства (включая адрес, дату регистрации); - реквизиты банковского счета (при наличии); - идентификационный номер (для физических лиц); - учетный номер плательщика (для индивидуальных предпринимателей); - контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.); - данные свидетельства о государственной регистрации (для индивидуальных предпринимателей); - иные данные в соответствии с условиями договора (при необходимости) |
обработка персональных данных на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором (абзац 15 статьи 6 Закона) |
3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства.
если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора. |
|
6.1.3. |
Заключение, исполнение, изменение и прекращение гражданско-правовых договоров на выполнение работ, оказание услуг и создание объектов интеллектуальной собственности (договоры подряда/оказания услуг) с физическими лицами
|
Физические лица, заключившие с Организацией гражданско-правовые договоры на выполнение работ, оказание услуг и создание объектов интеллектуальной собственности (договоры подряда/оказания услуг) |
- фамилия, собственное имя, отчество (при наличии); - паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.); - сведения о регистрации по месту жительства (включая адрес, дату регистрации); - страховой номер индивидуального лицевого счета; - номер телефона; - адрес электронной почты; - реквизиты банковского счета (при наличии); - иные данные в соответствии с условиями договора (при необходимости) |
обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац 20 статьи 6 Закона, пункт 1.1 Указа Президента Республики Беларусь от 06 июля 2005 года № 314 «О некоторых мерах по защите прав граждан, выполняющих работу по гражданско-правовым и трудовым договорам») |
3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства.
если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора. |
|
6.2. |
МАРКЕТИНГ (МЕРОПРИЯТИЯ, РАССЫЛКИ, ИНАЯ ДЕЯТЕЛЬНОСТЬ ПО ПРОДВИЖЕНИЮ ТОВАРОВ, РАБОТ И УСЛУГ) |
||||
|
6.2.1. |
Проведение рассылок маркетингового, рекламного характера контрагентам – юридическим лицам, индивидуальным предпринимателям |
Представители юридических лиц- действующих, потенциальных, бывших контрагентов Организации;
индивидуальные предприниматели - действующие, потенциальные, бывшие контрагенты Организации |
- фамилия, собственное имя, отчество (при наличии); - номер телефона; - адрес электронной почты |
обработка персональных данных на основании согласия (статья 5 Закона) |
срок согласия: 3 года с момента получения согласия;
срок хранения равен сроку согласия. |
|
6.2.2. |
Размещение информационных материалов о деятельности Организации, о проводимых мероприятиях на интернет-сайте Организации: www.extraservice.by, в социальных сетях и мессенджерах |
Участники мероприятий |
- фамилия, собственное имя, отчество (при наличии); - фото – и/или видеоизображение; - иные сведения, содержащиеся в информационном материале |
обработка персональных данных на основании согласия (статья 5 Закона); |
срок согласия: 3 года с момента дачи согласия либо до момента отзыва согласия
срок хранения равен сроку согласия |
|
|
|
|
|
обработка распространенных ранее общедоступных персональных данных (абзац 19 статьи 6 Закона) |
до заявления субъектом персональных данных требований о прекращении обработки, удалении персональных данных. |
|
6.3. |
КОММУНИКАЦИЯ |
||||
|
6.3.1. |
Установление с посетителями интернет-сайта Организации: www.extraservice.by обратной связи посредством использования формы обратной связи (сообщить руководству, предложить идею, заказать звонок, задать вопрос) |
Посетители интернет-сайта Организации |
- фамилия, собственное имя, отчество (при наличии); - номер телефона; - адрес электронной почты |
обработка персональных данных на основании согласия (статья 5 Закона) |
срок согласия: необходимый для установления связи с субъектом персональных данных срок, но не более 1 месяца после дачи согласия;
срок хранения равен сроку согласия. |
|
6.4. |
ВЫПОЛНЕНИЕ ЮРИДИЧЕСКИ ЗНАЧИМЫХ ОБЯЗАННОСТЕЙ |
||||
|
6.4.1. |
Рассмотрение обращений граждан и юридических лиц, в том числе внесенных в книгу замечаний и предложений |
Лица, направившие обращение
|
- фамилия, имя, отчество (при наличии); - адрес места жительства (места пребывания); - суть обращения; - иные персональные данные, указанные в обращении.
|
обработка персональных данных на основании обращения, адресованному Оператору и подписанного субъектом персональных данных (абзац 16 статьи 6 Закона);
обработка персональных данных/специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац 20 статьи 6, абзац 16 пункта 2 статьи 8 Закона, Закон Республики Беларусь от 18 июля 2011 года № 300-З «Об обращениях граждан и юридических лиц») |
5 лет с даты последнего обращения;
книга замечаний и предложений: 5 лет после окончания ведения и передачи в архив организации (пункт 89 Перечня типовых документов, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения, утвержденным постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 года № 140 (далее - Перечень)). |
|
6.4.2. |
Применение системы видеонаблюдения в целях в целях обеспечения охраны физических лиц и имущества Организации |
Посетители |
видеоизображение субъекта персональных данных |
обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац 20 статьи 6 Закона, статья 9 Закона Республики Беларусь от 08 ноября 2006 года № 175-З «Об охранной деятельности в Республике Беларусь») |
записи камер видеонаблюдения – 30 суток (абзац 4 пункта 20 Положения о применении систем безопасности и систем видеонаблюдения, утвержденного постановлением Совета Министров Республики Беларусь от 11 декабря 2012 года № 1135). |
|
6.4.3. |
Ведение делопроизводства, хранение и учет документов в соответствии с требованиями законодательства в сфере архивного дела и делопроизводства |
Физические лица, сведения о которых содержатся в документах, регистрируемых в системе учета документооборота |
персональные данные физических лиц, сведения о которых содержатся в архивных документах |
обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац 20 статьи 6 Закона, Закон Республики Беларусь от 25 ноября 2011 года № 323-З «Об архивном деле и делопроизводстве в Республике Беларусь») |
в соответствии с Перечнем. |
|
6.4.4. |
Предоставление информации по запросам органов внутренних дел, следственных органов, налоговых органов и иных государственных органов |
Физические лица, в отношении которых запрашивается информация |
персональные данные физических лиц, которые имеют право запросить органы внутренних дел, следственные органы, налоговые органы и иные государственные органы в случаях, предусмотренных законодательством |
в зависимости от содержания запроса:
- обработка персональных данных на основании согласия (статья 5 Закона);
- без согласия субъекта персональных данных, если такое согласие не требуется в силу статьи 6, пункта 2 статьи 8 Закона и иных законодательных актов |
срок, необходимый Оператору для достижения целей обработки, если иное не установлено законодательством. |
|
6.4.5. |
Ведение бухгалтерского и налогового учета хозяйственной деятельности |
Контрагенты – физические лица, индивидуальные предприниматели, представители – юридических лиц |
перечень обрабатываемых персональных данных определяется содержанием первичных учетных документов, необходимых для оформления хозяйственных операций |
обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац 20 статьи 6 Закона, Закон республики Беларусь от 12 июля 2013 года № 57-З «О бухгалтерском учете и отчете») |
3 года после проведения налоговыми органами проверки соблюдения налогового законодательства;
если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет. |
СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
7.2. Согласие субъекта персональных данных может быть получено:
а) в письменной форме;
б) в виде электронного документа;
в) в иной электронной форме.
7.3. В иной электронной форме согласие субъекта персональных данных может быть получено посредством:
а) указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
б) проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
в) других способов, позволяющих установить факт получения согласия субъекта персональных данных.
7.4. Предоставление информации субъекту персональных данных:
7.4.1. До получения согласия субъекта персональных данных Организация в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязана предоставить субъекту персональных данных информацию, содержащую:
а) наименование и место нахождения Организации;
б) цели обработки персональных данных;
в) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
г) срок, на который дается согласие субъекта персональных данных;
д) информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
е) перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых Организацией способов обработки персональных данных;
ж) иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
7.4.2. До получения согласия субъекта персональных данных Организация обязана простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена Организацией субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
7.5. Субъект персональных данных при даче своего согласия Организации указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность, за исключением случая, предусмотренного частью второй настоящего пункта.
Если цели обработки персональных данных не требуют обработки информации, указанной в части первой настоящего подпункта, эта информация не подлежит обработке Организацией при получении согласия субъекта персональных данных.
7.6. Перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных:
7.6.1. В ходе обработки с персональными данными могут совершаться любые действия или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), загрузка, просмотр, извлечение, использование, передача (предоставление, распространение, доступ, трансграничная передача), обезличивание, блокирование, удаление.
7.6.2. Действия, указанные в подпункте 7.6.1 пункта 7.6, совершаются исключительно в целях, указанных в главе 6 настоящей Политики.
7.7. Срок, на который дается согласие субъекта персональных данных определяется исходя из цели обработки персональных данных или срока, предусмотренного законодательством.
7.8. Обработка специальных персональных данных без согласия субъекта персональных данных:
7.8.1. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением следующих случаев:
а) если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
б) при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
в) для осуществления административных процедур;
г) для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
д) в иных случаях, предусмотренных законодательством.
7.8.2. Организация не осуществляет обработку специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных и иных убеждений, здоровья, половой жизни, привлечения к административной или уголовной ответственности, за исключением случаев, когда получено согласие субъекта персональных данных, а также случаев, установленных законодательством, когда согласие субъекта персональных данных на обработку не требуется.
ГЛАВА 8
ОБЩЕЕ ОПИСАНИЕ ИСПОЛЬЗУЕМЫХ ОРГАНИЗАЦИЕЙ СПОСОБОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Сбор персональных данных:
8.1.1. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.
8.1.2. Если иное не установлено Законом, Организация вправе получать персональные данные субъекта персональных данных от третьих лиц только при наличии согласия субъекта на получение его персональных данных от третьих лиц.
8.2. Способы обработки персональных данных:
8.2.1. Организация обрабатывает персональные данные следующими способами:
а) неавтоматизированная обработка персональных данных;
б) автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без такой передачи;
в) смешанная обработка персональных данных.
8.3. Хранение персональных данных:
8.3.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
8.3.2. Документы, содержащие персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
8.3.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Организацией информационных систем и специально обозначенных Организацией баз данных (внесистемное хранение персональных данных) не допускается.
8.3.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
8.3.5. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат удалению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
8.3.6. Удаление или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе.
8.3.7. При необходимости удаления или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих удалению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих удалению или блокированию.
8.4. Использование:
8.4.1. Персональные данные обрабатываются и используются для целей, указанных в главе 6 настоящей Политики.
8.4.2. Доступ к персональным данным предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.
Перечень должностных лиц Организации, имеющих доступ к персональным данным работников, их близких родственников, членов семей, определяется в соответствии с Политикой обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур, утвержденной Организацией.
Право доступа к персональным данным контрагентов Организации и их обработки имеют работники следующих структурных подразделений Организации:
˗ директор;
˗ администрация;
˗ коммерческое управление;
˗ управление логистики;
˗ общий отдел;
˗ производственный отдел;
˗ транспортный отдел;
˗ отдел развития;
˗ конструкторское бюро;
˗ бухгалтерия.
8.4.3. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора Организации или иного лица, уполномоченного на это директором Организации.
Указанные работники должны быть ознакомлены со всеми локальными правовыми актами Организации в области персональных данных, а также должны подписать обязательство о неразглашении персональных данных.
8.4.4. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящей Политикой.
8.4.5. Работникам Организации, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
8.4.6. При необходимости использования определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих использованию, и используется соответствующая копия персональных данных.
8.4.7. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
8.5. Передача:
8.5.1. Передача персональных данных субъектов контрагентам Организации и третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
8.5.2. Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.
8.5.3. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
8.5.4. Лица, получающие персональные данные от Организации, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Организация вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
8.5.5. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
8.5.6. Все поступающие запросы, содержащие персональные данные или касающиеся персональных данных, должны передаваться лицу, ответственному за организацию обработки персональных данных в Организации, для предварительного рассмотрения и согласования.
8.6. Трансграничная передача:
8.6.1. Организация осуществляет трансграничную передачу персональных данных:
˗ в адрес контрагентов Организации, которые являются резидентами иностранных государств, – в целях совершения действий, установленных заключенным с субъектом персональных данных договором;
˗ почтовым сервисам обмена электронными сообщениями – с целью рассылки информационных, рекламных и иных сообщений контрагентам Организации посредством E-mail-сообщений;
˗ социальным сетям и приложениям-мессенджерам (Instagram, TikTok, Facebook, Теlegram, Viber, WhatsApp) – с целью коммуникации с лицами, направившими сообщения с использованием социальных сетей и мессенджеров, а также размещения информации о проводимых Организацией акциях, об участниках проводимых Организацией мероприятий в социальных сетях и мессенджерах.
8.6.2. Трансграничная передача персональных данных может осуществляться Организацией в государства:
˗ обеспечивающие надлежащий уровень защиты прав субъектов персональных данных (Германия, Италия, Польша, Российская Федерация, Казахстан, Турция, Чешская Республика и др.);
˗ не обеспечивающие надлежащий уровень защиты прав субъектов персональных данных (США, Китай, Узбекистан и др.).
Полный перечень государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, размещён на официальном сайте Национального центра защиты персональных данных Республики Беларусь (https://cpd.by/zachita-personalnyh-dannyh/operatoru/transgranichnaya-peredacha).
8.6.3. При трансграничной передаче персональных данных в иностранные государства, на территории которых не осуществляется надлежащий уровень защиты прав субъектов персональных данных, Организация информирует субъектов персональных данных о существовании потенциальных рисков, возникающих в связи с отсутствием надлежащего уровня защиты персональных данных в таких иностранных государствах, а именно:
- отсутствие законодательства о персональных данных;
- отнесение к персональным данным ограниченного круга сведений о физическом лице;
- отсутствие уполномоченного органа по защите прав субъектов персональных данных;
- ограниченный круг (отсутствие) прав субъектов персональных данных;
- отсутствие мер ответственности за нарушения в сфере обработки персональных данных;
- отсутствие обязательных требований о технической и криптографической защите информационных систем (ресурсов), содержащих персональные данные;
- иные возможные риски нарушения прав субъектов персональных данных, возникающие в связи с трансграничной передачей персональных данных.
При вышеуказанной передаче персональных данных Организация получает согласие субъекта персональных данных, за исключением случаев, когда трансграничная передача осуществляется для выполнения заключенного договора с субъектом персональных данных либо в иных случаях, предусмотренных пунктом 1 статьи 9 Закона.
8.7. Поручение обработки:
8.7.1. Организация вправе поручить обработку персональных данных уполномоченному лицу.
8.7.2. В договоре между Организацией и уполномоченным лицом, акте законодательства либо решении государственного органа должны быть определены:
а) цели обработки персональных данных;
б) перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
в) обязанности по соблюдению конфиденциальности персональных данных;
г) меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона.
8.7.3. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Организации необходимо получение согласия субъекта персональных данных, такое согласие получает Организация.
8.7.4. В случае если Организация поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Организация. Уполномоченное лицо несет ответственность перед Организацией.
8.7.5. Обработка персональных данных осуществляется следующими уполномоченными лицами: юридические лица и индивидуальные предприниматели, с которыми у Организации заключены договоры на оказание услуг (рекламных, юридических, аудиторских, бухгалтерских, консультационных и других), если обработка персональных данных необходима для надлежащего оказания услуг по заключенным договорам.
ГЛАВА 9
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Организация принимает ряд правовых, организационных и технических мер, направленных на обеспечение защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных:
а) ограничивает и регламентирует состав работников, должностные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
б) назначает лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;
в) обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
г) организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
д) контролирует соблюдение требований по обеспечению защиты персональных данных, в том числе установленных настоящей Политикой (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
е) проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
ж) внедряет программные и технические средства защиты информации в электронном виде;
з) обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
и) иные меры, направленные на обеспечение выполнения Организацией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
ГЛАВА 10
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, МЕХАНИЗМ ИХ РЕАЛИЗАЦИИ
10.1. Субъект персональных данных имеет право:
10.1.1. отозвать предоставленное ранее согласие на обработку персональных данных.
Субъект персональных данных может в любое время без объяснения причин отозвать свое согласие, если для обработки персональных данных Оператор получал согласие субъекта персональных данных. Право на отзыв согласия не может быть реализовано в случаях, когда обработка персональных данных осуществляется Оператором на иных правовых основаниях.
Оператор обязан в пятнадцатидневный срок после получения заявления в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и (или) анонимизацию и уведомить об этом субъекта персональных данных, за исключением случаев, когда Оператор вправе продолжить обработку персональных данных при наличии иных оснований, установленных законодательством Республики Беларусь.
10.1.2. требовать прекращения обработки персональных данных и (или) их удаления.
Субъект персональных данных вправе требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии иных оснований для обработки персональных данных, установленных законодательством Республики Беларусь.
Оператор обязан в пятнадцатидневный срок после получения заявления в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и (или) анонимизацию и уведомит об этом субъекта персональных данных, за исключением случаев, когда Оператор вправе продолжить обработку персональных данных при наличии иных оснований, установленных законодательством Республики Беларусь.
10.1.3. на внесение изменений в свои персональные данные.
Субъект вправе требовать от Оператора внести изменения в свои персональные данные в случае, если такие данные являются неполными, устаревшими или неточными.
Для этих целей субъект персональных данных прилагает к заявлению соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные.
Оператор обязан в пятнадцатидневный срок после получения заявления внести изменения в персональные данные, если они являются неполными, устаревшими или неточными, и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений.
10.1.4. на получение информации, касающейся обработки персональных данных.
Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:
˗ наименование и место нахождения Оператора;
˗ подтверждение факта обработки персональных данных Оператором;
˗ перечень обрабатываемых Оператором персональных данных и источник их получения;
˗ правовые основания и цели обработки персональных данных;
˗ срок, на который дано согласие, при условии, что обработка персональных данных осуществляется на основании согласия;
˗ наименование и место нахождения уполномоченного лица, если обработка персональных данных поручена такому лицу;
˗ иную информацию, предусмотренную законодательством.
Оператор обязан в течение пяти рабочих дней после получения заявления предоставить субъекту персональных данных запрашиваемую информацию либо уведомить о причинах отказа в ее предоставлении.
10.1.5. на получение информации о предоставлении персональных данных третьим лицам.
Субъект персональных данных вправе получить от Оператора информацию о предоставлении своих персональных данных, обрабатываемых Оператором, третьим лицам. Такое право может быть реализовано субъектом персональных данных бесплатно один раз в календарный год.
Оператор обязан в пятнадцатидневный срок с момента получения заявления предоставить субъекту персональных данных информацию о том, какие персональные данные и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомит субъекта персональных данных о причинах отказа в ее предоставлении.
10.1.6. на обжалование действий (бездействия) и решений Оператора, связанных с обработкой персональных данных.
Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора в уполномоченный орган по защите прав субъектов персональных данных - Национальный центр защиты персональных данных Республики Беларусь в порядке, установленном законодательством об обращениях граждан и юридических лиц.
10.2. Для реализации своих прав, указанных в подпунктах 10.1.1 – 10.1.5 пункта 10.1 настоящей Политики, субъект персональных данных направляет Оператору соответствующее заявление одним из следующих способов:
˗ нарочным, лично или почтой по месту нахождения Организации: 223058, Минская обл., Минский р-н, ул. Новосельская, д. 31;
˗ на адрес электронной почты Организации: office@extraservice.by;
˗ в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено.
Заявление субъекта персональных данных предоставляется в Организацию в произвольной форме при условии, что оно содержит:
- фамилию, собственное имя, отчество субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований;
- личную подпись субъекта персональных данных.
Ответ на заявление направляется Оператором в форме, соответствующей форме подачи заявления субъектом персональных данных, если в самом заявлении не указано иное.
ГЛАВА 11
ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
11.1. Организация вправе:
11.1.1. устанавливать правила обработки персональных данных в Организации, вносить изменения и дополнения в настоящую Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Организации;
11.1.2. получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
11.1.3. запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
11.1.4. отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удаления при наличии оснований для обработки, предусмотренных Законом, в том числе, если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
11.1.5. осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных.
11.2. Организация обязана:
11.2.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
11.2.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
11.2.3. обеспечивать защиту персональных данных в процессе их обработки;
11.2.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
11.2.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
11.2.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
11.2.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Организации стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
11.2.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
11.2.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
11.2.10. выполнять иные обязанности, предусмотренные настоящим Законом и иными законодательными актами.
ГЛАВА 12
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Настоящая Политика может быть изменена, пересмотрена и (или) дополнена Организацией в любое время в одностороннем порядке без предварительного и (или) последующего уведомления субъектов персональных данных. Действующая редакция Политики постоянно доступна на сайте Организации: www.extraservice.by.
12.2. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются Законом и иными законодательными актами Республики Беларусь.
