ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЩИЕ ПОЛОЖЕНИЯ
ЦЕЛЬ
Настоящая Политика в отношении обработки персональных данных в СООО «Гарсия» разработана во исполнение требований пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
Политика в отношении обработки персональных данных в СООО «Гарсия» является основополагающим локальным правовым актом, определяющим политику СООО «Гарсия» в отношении обработки и обеспечения безопасности персональных данных, цели и меры, направленные на защиту персональных данных.
ЗАДАЧИ
Определить основные принципы и цели обработки персональных данных в СООО «Гарсия».
Определить правовые основания обработки персональных данных.
Определить категории субъектов персональных данных, их права и обязанности.
Описать порядок трансграничной передачи персональных данных.
Описать меры, которые СООО «Гарсия» принимает для обеспечения выполнения обязанностей оператора при обработке персональных данных.
Описать порядок контроля в СООО «Гарсия» за соблюдением законодательства Республики Беларусь и локальных правовых актов в области персональных данных.
ОБЛАСТЬ ПРИМЕНЕНИЯ И ОТВЕТСТВЕННОСТЬ
Политика в отношении обработки персональных данных в СООО «Гарсия» распространяется на все процессы СООО «Гарсия» как оператора, связанные с обработкой персональных данных и обязательна для применения всеми работниками оператора, осуществляющими обработку персональных данных в соответствии со своими должностными обязанностями.
Лицом, ответственным за разработку и актуализацию Политики в отношении обработки персональных данных в СООО «Гарсия», является директор по экономической и информационной безопасности СООО «Гарсия».
Утверждает Политику в отношении обработки персональных данных в СООО «Гарсия» Генеральный директор СООО «Гарсия».
ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
ТЕРМИН / СОКРАЩЕНИЕ
ОПРЕДЕЛЕНИЕ / РАСШИФРОВКА
Блокирование персональных данных
прекращение доступа к персональным данным без их удаления
ДЭиИБ
департамент по экономической и информационной безопасности СООО «Гарсия»
Информация
сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления
Информационная система
организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации
Клиент
юридическое лицо, индивидуальный предприниматель, физическое лицо, которому СООО «Гарсия» оказывает услуги и, в том числе, в сети Интернет
Контрагент
юридическое лицо, индивидуальный предприниматель, с которым у СООО «Гарсия» заключен договор (соглашение, контракт), кроме договоров по которым СООО «Гарсия» оказывает услуги
Обработка персональных данных
любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных
Обезличивание персональных данных
действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
Оператор
СООО «Гарсия», организация, которая самостоятельно или совместно с иными лицами организующая и (или) осуществляющая обработку персональных данных
Персональные данные
любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано
Предоставление персональных данных
действия, направленные на ознакомление с персональными данными определенного лица или круга лиц
Родственники
родители, дети, усыновители (удочерители), усыновленные (удочеренные), родные братья и сестры, дед, бабка, внуки, супруг (супруга), родители супруга (супруги)
Распространение персональных данных
действия, направленные на ознакомление с персональными данными неопределенного круга лиц
Субъект персональных данных
физическое лицо, в отношении которого осуществляется обработка персональных данных.
Трансграничная передача персональных данных
передача персональных данных на территорию иностранного государства
Удаление персональных данных
действия, в результате которых становится невозможным восстановить персональные данные в информационных системах, содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных
Уполномоченное лицо
юридическое лицо Республики Беларусь, иная организация, физическое лицо, которое на основании договора с СООО «Гарсия» осуществляет обработку персональных данных от имени СООО «Гарсия» или в её интересах
Физическое лицо, которое может быть идентифицировано
лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Политика в отношении обработки персональных данных в СООО «Гарсия» (далее – Политика) разработана с учетом требований законодательства Республики Беларусь в области обработки персональных данных и в соответствии со следующими нормативными правовыми актами:
Конституция Республики Беларусь;
Гражданский кодекс Республики Беларусь;
Трудовой кодекс Республики Беларусь;
Налоговый кодекс Республики Беларусь;
Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных);
Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
иные нормативные правовые акты Республики Беларусь.
2.2. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих вопросы обработки персональных данных работников СООО «Гарсия» и других субъектов персональных данных.
ПОРЯДОК, УСЛОВИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется СООО «Гарсия» в соответствии с требованиями законодательства Республики Беларусь.
Обработка персональных данных в СООО «Гарсия» осуществляется на основании:
согласия субъекта персональных данных;
договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
документа, адресованного СООО «Гарсия» и подписанного субъектом персональных данных, в соответствии с содержанием такого документа;
законодательства Республики Беларусь, которым предусматривается обработка персональных данных без согласия субъекта персональных данных.
К обработке персональных данных допускаются работники оператора, в должностные обязанности которых входит обработка персональных данных.
Обработка персональных данных в СООО «Гарсия» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников СООО «Гарсия»» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных в случаях, предусмотренных законодательством, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
СООО «Гарсия» принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
Персональные данные обрабатываются СООО «Гарсия» в целях:
обработки информации (резюме) кандидата на трудоустройство;
обработки персональных данных в процессе трудовой деятельности;
обеспечение пропускного режима на объектах СООО «Гарсия»;
заключение, исполнение, изменение и расторжение гражданско-правовых договоров;
идентификации зарегистрированного пользователя на информационном ресурсе СООО «Гарсия»;
направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продукцией (работами, услугами);
осуществление административных процедур;
рассмотрение обращений граждан и юридических лиц;
ведение бухгалтерского и налогового учета, статистического учета, начисления и выплаты заработной платы, назначения и выплаты пенсий, пособий, иных выплат;
реализация действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности;
онлайн-трансляции посредством интернет-сайтов СООО «Гарсия» и мобильных приложений СООО «Гарсия» процесса приготовления продукции, аудиозаписи разговоров с работниками СООО «Гарсия»;
реклама и продвижение продукции, в том числе представление информации о продукции СООО «Гарсия»;
ведение списка аффилированных лиц СООО «Гарсия»;
выдача подарков детям работников;
предоставление родственникам работников льгот и компенсаций;
проведение мероприятий и обеспечение участия в них субъектов персональных данных;
обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
выдача доверенностей и иных уполномочивающих документов;
обработка обращений с претензиями и информацией по безопасности товаров;
обработка обращений о негативных явлениях и побочных эффектах;
в иных законных целях.
4.5. ПРАВИЛА И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.5.1. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и глобальной компьютерной сети Интернет.
4.5.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
В иной электронной форме согласие субъекта персональных данных может быть получено посредством:
- указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
- проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
- других способов, позволяющих установить факт получения согласия субъекта персональных данных.
4.5.3. До получения согласия субъекта персональных данных лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, либо осуществляющее обработку персональных данных, в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязано предоставить субъекту персональных данных информацию, содержащую:
- наименование и место нахождения оператора;
- цели обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- срок, на который дается согласие субъекта персональных данных;
- информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
- иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. СООО «Гарсия» осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
работники, в том числе уволенные, а также их родственники;
практиканты, члены студенческих отрядов;
кандидаты на замещение вакантных должностей;
представители или работники заказчика, поставщика, подрядчика, исполнителя и иные клиенты и контрагенты, потенциальные клиенты;
граждане, подавшие (подающие) в СООО «Гарсия» обращения;
потребители;
физические лица, с которыми заключены договоры гражданско-правового характера;
посетители офисных помещений, складов и иных объектов СООО «Гарсия».
Перечень, цели и сроки обработки персональных данных вышеперечисленных категорий субъектов персональных данных приведены в Приложении к настоящей Политике.
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъекты персональных данных имеют право:
на отзыв своего согласия, если для обработки персональных данных СООО «Гарсия» обращался к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании договора либо в соответствии с требованиями законодательства;
на получение информации, касающейся обработки своих персональных данных СООО «Гарсия», содержащей:
место нахождения СООО «Гарсия»;
подтверждение факта обработки персональных данных обратившегося лица СООО «Гарсия»;
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица (уполномоченных лиц);
требовать от СООО «Гарсия» внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
получить от СООО «Гарсия» информацию о предоставлении своих персональных данных, обрабатываемых СООО «Гарсия», третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
требовать от СООО «Гарсия»бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
обжаловать действия (бездействие) и решения СООО «Гарсия», нарушающие его права при обработке персональных данных, в суд в порядке, установленном гражданским процессуальным законодательством.
6.2. Для реализации своих прав, связанных с обработкой персональных данных СООО «Гарсия», субъект персональных данных подает в СООО «Гарсия» заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия – также в форме, в которой такое согласие было получено). Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
6.3. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
своевременно сообщать оператору об изменениях и дополнениях своих персональных данных;
осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами оператора в области обработки и защиты персональных данных;
исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами оператора в области обработки и защиты персональных данных.
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. С учетом требований законодательства Республики Беларусь оператором может осуществляться трансграничная передача персональных данных на территории иностранных государств, приведенных в утверждаемом уполномоченным органом по защите прав субъектов персональных данных перечне иностранных государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных.
7.2. Трансграничная передача персональных данных на территории иных иностранных государств может осуществляться оператором с учетом требований действующего законодательства Республике Беларусь в случаях:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
МЕРЫ, ПРИНИМАЕМЫЕ СООО «ГАРСИЯ» ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Меры, необходимые и достаточные для обеспечения выполнения СООО «Гарсия» обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных субъектов персональных данных;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационной системе;
осуществление технической и криптографической защиты персональных данных в СООО «Гарсия» в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных систем, содержащих персональные данные;
обеспечение неограниченного доступа к настоящей Политике до начала обработки персональных данных;
прекращение обработки персональных данных при отсутствии оснований для их обработки;
незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
публикует на сайте и внутренних ресурсах СООО «Гарсия» или иным образом обеспечивает неограниченный доступ к настоящей Политике.
Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами СООО «Гарсия», регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Контроль за исполнением требований Политики осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных у оператора.
Работники оператора при нарушении установленного порядка обработки и обеспечения безопасности персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.
Ответственность за нарушение требований законодательства Республики Беларусь и нормативных правовых актов оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.