Политика в отношении обработки и защиты персональных данных субъектов
Общие положения
- Политика БелИнструментТорг (далее – организация) в отношении обработки персональных данных (далее — Политика) определяет основные цели и правовые основания обработки персональных данных, перечни субъектов и обрабатываемых в организации персональных данных, порядок, условия, способы и принципы обработки персональных данных, права субъектов персональных данных, обязанности организации при обработке персональных данных, а также реализуемые в организации требования к защите персональных данных.
- Политика разработана с учетом требований законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
- В настоящей Политике используются следующие термины и их определения:
- Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
- Блокирование персональных данных — прекращение доступа у персональным данным без их удаления.
- Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
- Неавтоматизированная обработка персональных данных — обработка персональных данных, при непосредственном участии человека.
- Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
- Оператор (персональных данных) — БелИнструментТорг
- Персональные данные — любая информация, относящаяся к идентифицируемому физическому лицу или физическому лицу, которое может быть идентифицировано.
- Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц.
- Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
- Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных
- Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства
- Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
- Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
- Политика определяется в соответствии со следующими нормативными правовыми актами и документами уполномоченных органов государственной власти:
- Конституция Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»
- Закон Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных»;
- Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
- Обработка персональных данных организацией осуществляется:
- с использованием средств автоматизации;
- без использования средств автоматизации, но при этом их поиск и (или) доступ к ним производится по определенным критериям (списки, базы данных, картотеки и т.п.).
Цели обработки персональных данных
- Организация осуществляет обработку персональных данных в следующих целях:
- ведения базы данных кандидатов на замещение вакантной должности, рассмотрения резюме, проведения анкетирования кандидатов и проверки достоверности указанных кандидатом сведений для подбора персонала на вакантные должности и дальнейшего трудоустройства в организации;
- ведения кадровой работы и организации кадрового, воинского учета работников;
- оформлении доверенностей, иных документов для представления интересов организации в отношениях с третьими лицами (в том числе командировки);
- содействия в обучении и профессиональном развитии, контроля количества и качества выполняемой работы, обеспечения сохранности имущества;
- проверки благонадежности контрагента, подготовки и направления коммерческих предложений (в том числе для участия в тендере), согласования и подготовки к совершению, совершения, изменения, расторжения и исполнения сделок (в том числе соглашений о конфиденциальности), проверки полномочий лиц, уполномоченных на заключение сделок;
- обеспечения соблюдения законодательства и ненормативных правовых актов;
- начисления заработной платы, исчисления, удержание и перечисления подоходного налога, страховых взносов и иных платежей, составления отчетности, назначения и выплаты пенсий, пособий;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности организации;
- размещения сведений в информационных материалах на официальном сайте организации в сети Интернет;
- использование персональных данных в рекламных и маркетинговых целях, в том числе направление субъекту персональных данных уведомлений, коммерческих предложений, сообщений информационного и рекламного характера, связанных с деятельностью организации;
- выпуска, продления, использования электронной цифровой подписи;
- сбора информации через формы обратной связи, опросов, интервью, тестов, сбора статистической информации, администрирования сайта организации, регистрация и обслуживание аккаунтов на сайте организации;
- осуществления коммуникаций с субъектами персональных данных, обработки обращений и запросов, получаемых от субъектов персональных данных;
- оценки качества произведенных товаров, выполненных работ, оказанных услуг;
- реализации социальных проектов.
Правовые основания обработки персональных данных
- Обработка персональных данных осуществляется с согласия субъекта персональных данных, а в случаях, предусмотренных Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» и иными законодательными актами и без такого согласия.
Перечень субъектов, персональные данные которых обрабатываются
- В организации обрабатываются персональные данные следующих категорий субъектов:
- кандидаты на замещение вакантных должностей;
- работники организации, бывшие работники, их супруги и близкие родственники;
- представители контрагентов-юридических лиц;
- контрагенты-физические лица, в том числе индивидуальные предприниматели;
- лица, направившие обращение в организацию;
- посетители сайта организации;
- участники организации, их законные представители;
- представители потенциальных контрагентов организации.
Перечень персональных данных, обрабатываемых в организации
- Перечень персональных данных, обрабатываемых в организации, определяется в соответствии с законодательством Республики Беларусь и локальными нормативными актами организации с учетом целей обработки персональных данных, указанных в разделе 2 настоящей Политики.
- В организации обрабатываются следующие персональные данные субъектов персональных данных:
- Фамилия, собственное имя, отчество (при его наличии) (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения), дата рождения, данные документа, удостоверяющего личность, идентификационный номер, данные свидетельства социального страхования;
- УНП, фото, гражданство, место работы, должность, сведения о доходах, контактная информация (номер телефона, адрес электронной почты, адрес места жительства и места пребывания), сведения об образовании (в том числе специальных навыках (например: опыт вождения и водительское удостоверение и т.п.), место учебы, факультет, специальность, год и месяц окончания обучения, степень владения иностранными языками, сведения, содержащиеся в резюме, сведения о трудовой деятельности, биографические сведения (в том числе место рождения), сведения о состоянии здоровья, сведения о составе семьи и ближайших родственниках и подтверждающие эти данные документы, отношение к военной службе, банковские реквизиты (расчетный счет, БИК), электронная подпись (при наличии), сведения, содержащиеся в обращении, IP-адрес, файлы cookies.
- Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в организации не осуществляется.
Порядок и условия обработки персональных данных
- Обработка персональных данных в организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
- Организация осуществляет сбор, систематизацию, хранение, изменение, использование, предоставление, распространение, обезличивание, блокирование, удаление персональных данных.
- Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.
- Организация без согласия субъекта персональных данных не предоставляет третьим лицам и не распространяет персональные данные, если иное не предусмотрено законом.
- Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не установлено законом, на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных.
- В целях внутреннего информационного обеспечения организация может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, абонентский номер, адрес электронной почты, фото и иные персональные данные, сообщаемые субъектом персональных данных.
- Доступ к персональным данным ограничивается в соответствии с законодательными актами и локальными нормативными актами организации.
- Обработка персональных данных может осуществляться:
- работниками организации, занимающими должности, включенные в Перечень подразделений и должностных лиц, допущенных к обработке персональных данных в организации;
- уполномоченным лицом, осуществляющим обработку персональных данных по поручению организации.
- Работники организации, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных, которые определены трудовым договором, должностными инструкциями и локальными нормативными актами организации по обработке персональных данных.
- Доступ представителей государственных органов к персональным данным регламентируется действующим законодательством Республики Беларусь.
- Персональные данные работников организации могут быть предоставлены третьим лицам только с письменного согласия работника, за исключением случаев, предусмотренных действующим законодательством Республики Беларусь.
- Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
- такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
- получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
Cроки обработки, в том числе хранения, персональных данных
- Сроки обработки, в том числе хранения, персональных данных работников организации и других субъектов персональных данных на бумажных и иных материальных носителях, а также в информационных системах персональных данных определяются организацией в соответствии с законодательством Республики Беларусь.
- Если сроки обработки персональных данных не установлены законом, их обработка и хранение осуществляются не дольше, чем этого требуют цели обработки, в том числе хранения, персональных данных.
- Организация прекращает обрабатывать ПД, если:
- достигнута цель обработки, в том числе хранения, персональных данных либо миновала необходимость в достижении цели;
- истек срок действия согласия субъекта или субъект отозвал согласие на обработку персональных данных и у организации нет иных, предусмотренных законодательством Республики Беларусь, оснований для обработки персональных данных;
- обнаружена неправомерная обработка персональных данных;
- прекращена деятельность организации.
Принципы обработки ПДН
- Обработка персональных данных в организации осуществляется с учетом необходимости обеспечения защиты прав и свобод работников организации и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с заявленными целями их обработки. В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом «О защите персональных данных» и иными законодательными актами
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- обрабатываемые персональные данные должны быть достоверными, при необходимости подлежат обновлению;
- хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
Соблюдение прав субъектов персональных данных
- Субъект персональных данных, чьи персональные данные обрабатываются в организации, имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки его персональных данных организацией;
- правовые основания и цели обработки персональных данных;
- его персональные данные и источник их получения;
- срок, на который дано его согласие;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу;
- о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно
- иную информацию, предусмотренную законодательством.
- Субъект персональных данных вправе требовать от организации внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает заявление с приложением соответствующих документов и/или заверенных в установленном порядке копий документов, подтверждающих необходимость внесения изменений в персональные данные.
- В случае получения соответствующего заявления от субъекта персональных данных организация в установленный законодательством срок обязана:
- предоставить субъекту персональных данных в доступной форме информацию, либо уведомить о причинах отказа в ее предоставлении;
- внести изменения в персональные данные субъекта и уведомить об этом субъекта персональных данных либо уведомить его о причинах отказа во внесении таких изменений.;
- прекратить обработку персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством Республики Беларусь, и уведомить об этом субъекта персональных данных. Организация вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательством, с уведомлением об этом субъекта персональных данных.
- Для ответа на заявление субъекта персональных данных организация может запросить дополнительную информацию, подтверждающую участие субъекта персональных данных в отношениях с организацией (номер договора, дата заключения, иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных субъекта организацией.
- Свои права субъект персональных данных реализует путем подачи заявления в письменной форме либо в виде электронного документа, в случаях предусмотренных законодательными актами обязательно личное присутствие субъекта персональных данных и предъявление документа, удостоверяющего личность. Заявление субъекта персональных данных должно содержать:
- его фамилию, собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания);
- дату рождения;
- идентификационный номер, при отсутствии такового – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия организации или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований;
- личную подпись или электронную цифровую подпись.
Обязанности организации при обработке персональных данных
- При обработке персональных данных организация обязана:
- Получить согласие субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- обеспечивать защиту персональных данных в процессе их обработки;
- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- вносить изменения в персональный данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами;
- уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как организации стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
- осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
- исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
- выполнять иные обязанности, предусмотренные законодательными актами.
Обработка персональных данных с использованием веб-сайта компании
- Организацией может осуществляться обработка персональных данных посетителей официального сайта организации с целью сбора информации через формы обратной связи, сбора статистической информации и администрирования сайта.
- Предоставляя организации свои персональные данные через официальный сайт организации в глобальной компьютерной сети Интернет субъект персональных данных выражает согласие на обработку его персональных данных на условиях, предусмотренных настоящей Политикой и соглашается с Условиями использования сайта организации.
Защита персональных данных
- Организация обеспечивает безопасность персональных данных в порядке, установленном действующим законодательством Республики Беларусь в области персональных данных.
- Безопасность персональных данных в организации обеспечивается принятием правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов персональных данных
- Лица, виновные в нарушении положений законодательства Республики Беларусь и локальных нормативных актов организации в области персональных данных, несут ответственность, предусмотренную законодательными актами Республики Беларусь.
- Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных законом Республики Беларусь от 07.05.2021 г. №99-З «О защите персональных данных» подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Заключительные положения
- Настоящая Политика является общедоступной. Неограниченный доступ к настоящей Политике обеспечивается путем ее опубликования на официальном сайте организации в глобальной компьютерной сети Интернет.