ПОЛИТИКА ООО «Единая торговая компания» в отношении обработки персональных данных
1. Общие положения
1.2. Политика действует в отношении всех персональных данных, которые могут быть получены ООО «Единая торговая компания» в связи с осуществлением последней своей уставной деятельности, а также вопросами трудоустройства и процесса осуществления трудовой деятельности в ООО «Единая торговая компания» (далее – Оператор).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения Политики и служит основой для разработки локальных правовых актов Оператора, регламентирующих порядок обработки и защиты персональных данных.
1.4. Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
удаление персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Цели и правовые основания обработки персональных данных. Категории субъектов персональных данных и объем обрабатываемой в отношении них информации.
2.1. Обработка персональных данных ограничивается достижением Оператором целей по приобретению и реализации различных видов товаров, работы с представителями контрагентов, поиска и приема на работу кандидатов на трудоустройство, осуществления трудовой деятельности работниками Оператора. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.1.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.1.2. Обработка Оператором персональных данных осуществляется в целях, в отношении субъектов персональных данных, а также в объемах и в течение сроков, указанных в Таблице 1:
Цели обработки персональных данных |
Категории субъектов персональных данных, чьи данные подвергаются обработке |
Перечень обрабатываемых персональных данных |
Правовые основание обработки персональных данных |
Срок хранения персональных данных | |
Идентификация зарегистрированного пользователя сайта Оператора / программных ресурсов, находящихся в распоряжении Оператора (п.3 ст. 4 Закона о персональных данных) | Посетитель сайта Оператора, зарегистрированный пользователь сайта оператора |
- фамилия, имя, отчество;
- пол; - дата рождения; - контактные данные; - место нахождения, место проживания |
Обработка персональных данных с согласия субъекта (пункт третий статьи 4 Закона о персональных данных) |
1 год с даты последней авторизации в личном кабинете. | |
Привлечение и отбор кандидатов на работу, обработка информации (резюме) кандидата на трудоустройство | Кандидаты для приема на работу |
|
Обработка персональных данных предусмотрена законодательством.
При направлении резюме в электронном виде – с согласия субъекта (пункт третий статьи 4, пункты второй и третий статьи 5 Закона о персональных данных). При направлении резюме в письменном виде – абзац шестнадцатый статьи 6 Закона о персональных данных В отношении сведений о привлечении к административной или уголовной ответственности - с согласия субъекта (пункт третий статьи 4 Закона о персональных данных). |
В случае приема на работу:
- 1 месяц; - в отношении сведений о привлечении к административной или уголовной ответственности – на время исполнения трудовых обязанностей. В случае непринятия на работу - 1 год |
|
Обработка персональных данных работников Оператора при оформлении трудовых отношений и в процессе трудовой деятельности:
- формирование, ведение и хранение личных дел работников: - выплата заработной платы; - выплата пособий по временной нетрудоспособности; - применение мер поощрения, - хранение заявлений о предоставлении отпусков |
Работники и бывшие работники Оператора |
|
Обработка персональных данных предусмотрена законодательством (абзац восьмой статьи 6, абзац третий пункта второго статьи 8 Закона о персональных данных);
статья 26 Трудового кодекса Республики Беларусь (далее – ТК) и иные законодательные акты; Инструкция о порядке формирования, ведения и хранения личных дел работников, утв. постановлением Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26.03.2004 № 2 |
После увольнения – 55 лет (п. 673.3 Перечня типовых документов Национального архивного фонда Республики Беларусь, утв. пост. Министерства юстиции Республики Беларусь от 24.05.2012 № 140, далее - Перечень) | |
Ведение трудовых книжек | Работники | В соответствии с постановлением Министерства труда и социальной защиты Республики Беларусь от 16.06.2014 № 40 «О трудовых книжках» | Обработка персональных данных предусмотрена законодательством (абзац восьмой статьи 6 Закона о персональных данных, пост. Министерства труда и социальной защиты Республики Беларусь от 16.06.2014 № 40 «О трудовых книжках» |
Трудовые книжки – на срок трудовой деятельности (после увольнения – до востребования, если не востребованы – 50 лет (п. 681 Перечня); книги учета движения трудовых книжек и вкладышей к ним – 50 лет (п. 683 Перечня) |
|
Командирование | Работники | Фамилия, собственное имя, отчество работника, занимаемая должность, паспортные данные, сведения о проездных документах, бронировании гостиниц и иные сведения, предусмотренные законодательством и (или) необходимые для организации командировки | Обработка персональных данных предусмотрена законодательством (абзац восьмой статьи 6 Закона о персональных данных) |
3 года (п. 697.1. Перечня), если налоговая проверка не проводилась – 10 лет; при служебных командировках за границу – 10 лет (п. 697.2. Перечня) |
|
Привлечение к дисциплинарной, материальной ответственности | Работники | Фамилия, собственное имя, отчество, занимаемая должность работника, иные сведения в соответствии с письменным объяснением работника |
-//-
|
3 года (п. 21.4. Перечня), если налоговая проверка не проводилась – 10 лет. | |
Предоставление гарантий и компенсаций, предусмотренных законодательством о труде | Работники, члены их семей | Фамилия, собственное имя, отчество работника, занимаемая должность, иные сведения, послужившие основанием для предоставления гарантии, компенсации. |
-//-
|
В зависимости от гарантии или компенсации в соответствии с Перечнем | |
Предоставление трудовых и социальных отпусков | Работники, члены их семей | Фамилия, собственное имя, отчество, занимаемая должность работника, даты отпуска, вид отпуска, иные сведения, послужившие основанием для предоставления социального отпуска (сведения о состоянии здоровья, о рождении детей) |
-//-
|
Графики трудовых отпусков – 1 год (п.702 Перечня);
приказы о предоставлении трудовых отпусков – З года (п. 21.4. Перечня), если налоговая проверка не проводилась – 10 лет.; по социальным отпускам – 55 лет (п.21.3. Перечня) |
|
Аттестация | Работники | В соответствии с Типовым положением об аттестации руководителей и специалистов организаций, утвержденным постановлением Совета Министров Республики Беларусь от 25 мая 2010 г. № 784 | -//- |
Протоколы аттестационной комиссии – 15 лет (п. 705 Перечня); аттестационные листы, характеристики – 3 года (п. 707 Перечня) |
|
Направление на профессиональную подготовку, повышение квалификации, стажировку и переподготовку | Работники | Паспортные данные, сведения о занимаемой должности | -//- | Приказы о направлении – 3 года (п. 21.4 Перечня), если налоговая проверка не проводилась – 10 лет. | |
Изменение, прекращение трудового договора | Работники | Фамилия, собственное имя, отчество, занимаемая должность работника, сведения о трудовой деятельности, о семейном положении, об образовании, объяснительные и докладные записки, иные сведения, послужившие основанием для изменения, прекращения трудового договора | -//- | 55 лет (п. 21.3. Перечня) | |
Рассмотрение индивидуальных трудовых споров | Работники | Фамилия, собственное имя, отчество, сведения о трудовой деятельности в Организации, иные сведения, необходимые для разрешения индивидуального трудового спора | Обработка персональных данных предусмотрена законодательством (абзац восьмой статьи 6 Закона о персональных данных) | 5 лет после урегулирования спорных вопросов (п.495 Перечня) | |
Ведение воинского учета | Работники – военнообязанные, члены их семей | В соответствии с постановлением Министерства обороны Республики Беларусь от 27.01.2020 № 5 «Об установлении форм документов воинского учета» | -//- | 5 лет (п. 691 Перечня) | |
Ведение учета нуждающихся в оздоровлении и санаторно-курортном лечении
|
Работники, несовершеннолетние дети работника, их другой родитель | В соответствии с Положением о порядке направления населения на санаторно-курортное лечение и оздоровление, утвержденным Указом Президента Республики Беларусь от 28.08.2006 № 542 | -//- | 3 года (п.427 Перечня документов Национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей по здравоохранению, физической культуре и спорту, туризму, с указанием сроков хранения, уст. приказом Министерства юстиции Республики Беларусь, Департамента по архивам и делопроизводству Министерства юстиции Республики Беларусь от 01.04.2019 № 11) | |
Ведение учета нуждающихся в улучшении жилищных условий |
Работники, бывшие работники в случаях, предусмотренных законодательством, члены их семей
|
В соответствии со статьей 40 Жилищного кодекса Республики Беларусь | -//- | 1 месяц после увольнения, если отсутствует право состоять на учете нуждающихся в улучшении жилищных условий | |
Подача документов индивидуального (персонифицированного) учета застрахованных лиц | Работники | В соответствии с постановлением Правления Фонда социальной защиты населения Министерства труда и социальной защиты Республики Беларусь от 19.06.2014 № 7 «О порядке заполнения и приема-передачи форм документов персонифицированного учета» | Обработка персональных данных предусмотрена законодательством (абзац восьмой статьи 6 Закона) | 5 лет (п. 640.2. Перечня) | |
Оформление необходимых для назначения пенсии документов | Работники | В соответствии со статьей 75 Закона Республики Беларусь от 17 апреля 1992 г. № 1596-XII «О пенсионном обеспечении» | -//- | До представления в орган, осуществляющий пенсионное обеспечение | |
Расследование несчастных случаев на производстве | Работники | В соответствии с постановлением Министерства труда и социальной защиты Республики Беларусь и Министерства здравоохранения Республики Беларусь от 14.08.2015 № 51/94 «О документах, необходимых для расследования и учета несчастных случаев на производстве и профессиональных заболеваний» | -//- | 45 лет, а с крупным материальным ущербом, групповых, со смертельным или тяжелым исходом – постоянно (п. 532.1 Перечня). | |
Заключение, исполнение, изменение и расторжение договоров с контрагентами Оператора, в том числе передача персональных данных отдельных категорий работников в рамках таких договоров |
1) работники, 2) представители (работники) клиентов и контрагентов Оператора (юридических лиц) |
1) В зависимости от контрагента и целей взаимодействия:
- фамилия, имя, отчество; - пол; - гражданство; - дата и место рождения; - родственные связи (их отсутствие) - изображение (фотография); - паспортные данные; - адрес регистрации по месту жительства; - контактные данные; - учетный номер плательщика; - занимаемая должность; - о фактах привлечения к административной или уголовной ответственности; - участие в уставном фонде юридических лиц.
2) Следующие сведения: - фамилия, имя, отчество; - паспортные данные; - контактные данные (номер телефона, адрес электронной почты); - занимаемая должность; - иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров. |
Обработка персональных данных предусмотрена законодательством (абзац восьмой и пятнадцатый статьи 6, абзац третий второго пункта статьи 8 Закона о персональных данных) |
1 месяц после увольнения. Срок хранения согласий на передачу данных – 1 год после увольнения (п. 33-1 Перечня). |
|
Трансграничная передача персональных данных отдельных категорий работников в целях заключения, исполнения, изменения и расторжения договоров с контрагентами Оператора, расположенными на территории Российской Федерации, Китайской Народной Республики, Объединенных Арабских Эмиратов, стран Европейского Союза, а также командирования сотрудников | Работники |
В зависимости от контрагента и целей взаимодействия:
- фамилия, имя, отчество; - пол; - гражданство; - дата и место рождения; - родственные связи (их отсутствие) - изображение (фотография); - паспортные данные; - адрес регистрации по месту жительства; - контактные данные; - учетный номер плательщика; - занимаемая должность; - о фактах привлечения к административной или уголовной ответственности; - участие в уставном фонде юридических лиц. |
Обработка персональных данных предусмотрена законодательством (пунктом третьим статьи 4, абзацем вторым пункта первого статьи 9 Закона о персональных данных) |
1 месяц после увольнения. Срок хранения согласий на передачу данных – 1 год после увольнения (п. 33-1 Перечня). |
|
Рассмотрение обращений | Заявители | Фамилия, собственное имя, отчество, место жительства, место работы заявителя, иные сведения в соответствии с законодательством об обращениях граждан и юридических лиц |
Обработка персональных данных предусмотрена законодательством (абзацем 16 статьи 6, абзацем 3 пункта 2 статьи 8 Закона о персональных данных; Положением о порядке ведения делопроизводства по обращениям граждан и юридических лиц в государственных органах, иных организациях, у индивидуальных предпринимателей, утв. пост. Совета Министров Респ. Беларусь № 1786 от 30.12.2011) |
5 лет, в случае неоднократного обращения – 5 лет с даты последнего обращения (п.85 Перечня) | |
Рассмотрение заявлений субъектов персональных данных | Субъекты персональных данных, чьи персональные донные обрабатываются Оператором | Сведения, указываемые в заявлении в соответствии с частью второй статьи 14 Закона о персональных данных | Статья 14 Закона о персональных данных | 1 год (п. 33-2 Перечня) | |
Ведение Перечня аффилированных лиц Оператора | Аффилированные лица Оператора | Фамилия, собственное имя, отчество, место жительства (страна, и город, иное – с согласия аффилированного лица), степень родства с аффилированными лицами Оператора | Право на получение сведений предусмотрено частью третьей статьи 56 Закона Республики Беларусь от 09.12.1992 № 2020-XII «О хозяйственных обществах» | В течение срока сохранения состояния аффилированности соответствующего лица | |
Обеспечение сохранности имущества и материальных ценностей Оператора, а также Контроль качества выполняемой работниками работы | Работники склада, посетители склада | Изображение (видеозапись, фотография) |
Обработка персональных данных предусмотрена законодательством
(абзац восьмой статьи 6, абзац третий пункта второго статьи 8 Закона о персональных данных; пункт второй части первой статьи 55 Трудового кодекса) |
30 дней |
2.2. Обработка персональных данных работников Организации для целей, не предусмотренных законодательством и не связанных с исполнением работниками должностных обязанностей, осуществляется с согласия работников, если отсутствуют иные правовые основания для такой обработки.
2.3. Предоставление персональных данных работников Организации и член их семей третьим лицам осуществляется только в случаях, предусмотренных законодательными актами.
2.2. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
– Конституция Республики Беларусь;
– Гражданский кодекс Республики Беларусь;
– Трудовой кодекс Республики Беларусь;
– Налоговый кодекс Республики Беларусь;
– Указ Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»;
– Закон о персональных данных;
– иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
2.3. Правовым основанием обработки персональных данных также являются:
– устав Оператора;
– коллективный договор;
– договоры, заключаемые между Оператором и субъектами персональных данных;
– согласие субъектов персональных данных на обработку их персональных данных (при необходимости и в случаях, установленных законодательством).
3. Порядок и условия обработки персональных данных
3.1. Общие правила.
3.1.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.
3.1.2. Обработка персональных данных осуществляется Оператором путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки.
3.1.3. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
3.1.4. В случаях, установленных законодательством Республики Беларусь, основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных в письменной форме.
3.1.5. Письменное согласие субъекта персональных данных на обработку его персональных данных оформляется по форме, установленной Приложением к настоящей Политике.
3.2.4. Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в следующих случаях:
для исполнения судебных постановлений и иных исполнительных документов;
для ведения персонифицированного учета, в том числе профессионального пенсионного страхования;
при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
в целях назначения и выплаты пенсий, пособий;
для формирования официальной статистической информации;
при получении персональных данных Оператором на основании договора, заключаемого с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка персональных данных является необходимой для выполнения Оператором обязанностей, предусмотренных законодательством;
в случаях, когда законодательством прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
3.2.5. Обработка специальных персональных данных без согласия субъекта персональных данных Оператором не осуществляется, за исключением следующих случаев:
если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных у Оператора в случаях, предусмотренных законодательством;
для исполнения судебных постановлений и иных исполнительных документов;
для формирования официальной статистической информации;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей Оператора, предусмотренных законодательством;
в случаях, когда законодательством прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
3.3. Сбор персональных данных.
3.3.1. Основным источником информации обо всех персональных данных субъекта является непосредственно сам субъект персональных данных.
3.3.2. Субъект персональных данных предоставляет свои персональные данные в устной и письменной формах, в виде электронного документа или в иной электронной форме (при обработке персональных данных на сайте Оператора).
3.3.2. Если иное не установлено Законом о персональных данных, Оператор, в необходимых случаях и с соблюдением требований законодательства, также получает персональные данные субъекта персональных данных от третьих лиц и (или) из общедоступных источников.
3.4. Хранение персональных данных.
3.4.1. При хранении персональных данных Оператором соблюдаются условия, обеспечивающие их сохранность.
3.4.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа (сейфы, закрывающиеся на замок шкафы, ящики стола и т.п.).
3.4.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты.
3.4.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, в течение сроков, установленных законодательством Республики Беларусь для хранения тех или иных документов, содержащих персональные данные, локальными правовыми актами Оператора или договором, стороной которого является субъект персональных данных, а если такие сроки не установлены - до достижения целей обработки персональных данных.
3.4.5. По истечении сроков хранения, а если такие сроки не установлены - по достижении целей обработки, а также в случае утраты необходимости в достижении этих целей обрабатываемые персональные данные подлежат уничтожению, за исключением случаев, если персональные данные должны храниться длительное время в силу требований нормативных правовых актов.
3.5. Использование.
3.5.1. Персональные данные обрабатываются и используются Оператором для целей, указанных в настоящей Политике.
3.5.2. Доступ к персональным данным предоставляется только тем работникам Оператора, служебные обязанности которых предполагают работу с персональными данными, либо лицам, в установленном порядке их замещающим (выполняющим обязанности согласно распределению функциональных обязанностей), и только на период, необходимый для работы с соответствующими данными.
Допуск к персональным данным включает:
ознакомление работника с законодательством о защите персональных данных, об ответственности за его нарушение, настоящей Политикой и иными локальными правовыми актами Оператора в области обработки и защиты персональных данных;
принятие работником обязанности в соответствии с Законом о персональных данных соблюдать режим конфиденциальности персональных данных, к которым он получает доступ, в том числе после прекращения трудовых отношений.
3.5.3. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящим в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора Оператора или лица, в установленном порядке его замещающего. Соответствующие работники должны быть ознакомлены с настоящей Политикой под подпись.
3.5.4. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе путем ознакомления с настоящим Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящим Политикой.
3.5.5. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
3.5.6. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3.6. Передача.
3.6.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
3.6.2. Передача персональных данных третьим лицам допускается только при наличии согласия субъекта либо иного законного основания.
3.6.3. При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законодательством, в частности, если:
субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором, который получил от Оператора соответствующие данные;
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
персональные данные обрабатываются для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных.
3.6.4. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
3.6.5. Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности.
3.6.6. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
3.6.7. Оператор, с согласия субъекта персональных данных, осуществляет трансграничную передачу персональных данных контрагентам Оператора в целях заключения, исполнения, изменения или расторжения договоров с последними. Трансграничная передача осуществляется путем почтовых отправлений, в том числе электронных, с принятием мер по недопущению ознакомления с передаваемыми персональными данными посторонних лиц.
Трансграничная передача персональных данных на территорию иностранного государства, где не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, осуществляется при условии информирования последних о рисках, возникающих в связи с отсутствием надлежащего уровня защиты их прав.
Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется уполномоченным органом по защите прав субъектов персональных данных[1].
3.7. Защита.
3.7.1. Для защиты персональных данных Оператор принимает необходимые, предусмотренные законодательством меры (включая, но не ограничиваясь):
ограничивает и регламентирует перечень работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
организует уничтожение информации, содержащей персональные данные, если законодательством или локальными правовыми актами Оператора не установлены требования по хранению соответствующих данных либо документов, содержащих такие данные;
контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Политикой;
проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
принимает иные меры, направленные на обеспечение выполнения обязанностей в сфере персональных данных, предусмотренных законодательством Республики Беларусь.
4. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
4.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в п. 1 и 4 ст. 11, п. 1 ст. 12 Закона о персональных данных, предоставляются Оператором субъекту персональных данных при получении заявления субъекта персональных данных.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
Заявление может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Республики Беларусь.
Если в заявлении субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Субъекту персональных данных может быть отказано в предоставлении информации в соответствии с п. 3 ст. 11 Закона о персональных данных.
4.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных либо по его заявлению или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента получения указанного заявления или запроса на период проверки.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет (изменяет) персональные данные в течение 15 дней со дня представления таких сведений и снимает блокирование персональных данных.
4.3. В случае выявления неправомерной обработки персональных данных при получении заявления субъекта персональных данных либо запроса уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения заявления (запроса).
4.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат удалению, если иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных или законодательством.
4.6. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Организации, в том числе направив сообщение на электронный адрес: info@etk.by.
5. Основные права и обязанности Оператора и субъекта персональных данных.
5.1. Оператор имеет право:
1) осуществлять обработку персональных данных в соответствии с законодательством Республики Беларусь;
2) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей в сфере защиты персональных данных, предусмотренных законодательством Республики Беларусь и Законом о персональных данных, если иное не установлено законодательством Республики Беларусь;
3) поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
4) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Законом о персональных данных.
5.2. Оператор обязан:
1) получать согласие субъектов персональных данных на обработку их персональных данных в случаях, предусмотренных законодательством Республики Беларусь и (или) Законом о персональных данных.
2) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
3) отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
4) сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
5) исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
5.3. Субъект персональных данных имеет право:
1) получать в доступной информацию, касающуюся обработки своих персональных данных (за исключением предусмотренных законодательством случаев, когда такая информация не предоставляется), в объеме и порядке, установленном Законом о персональных данных;
2) требовать от Оператора уточнения своих персональных данных в случае, если такие персональные данные являются неполными, устаревшими, неточными;
3) получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
4) в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
5) требовать от Оператора изменения, блокирования или удаления своих недостоверных или полученных незаконным путем персональных данных, персональных данных, обработка которых несовместима с заявленными целями обработки персональных данных субъекта, а также принимать иные предусмотренные законом меры по защите своих прав;
6) обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
6. Контроль за исполнением требований Политики, ответственность за ее нарушение. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
6.1. Контроль за исполнением требований Политики осуществляется лицом (-ми), ответственным (-ми) за осуществление внутреннего контроля за обработкой персональных данных у Оператора, назначаемые приказом Директора Оператора.
7.2. К основным функциям лица, ответственного за осуществление внутреннего контроля относятся:
- осуществление (участие в осуществлении) внутреннего контроля за обработкой персональных данных;
- консультирование руководителя и работников по вопросам применения законодательства о персональных данных;
- участие в разработке (поддержании в актуальном состоянии) документов, определяющих политику организации в отношении обработки персональных данных;
- ведение (координация ведения) реестра обработки персональных данных;
- участие в обучении работников организации и иных лиц, непосредственно осуществляющих обработку персональных данных по вопросам защиты персональных данных (в том числе разработка тестов, иных заданий, их проверка и т.п.);
- участие в рассмотрении заявлений субъектов персональных данных;
- взаимодействие с уполномоченным органом по защите прав субъектов персональных данных – Национальным центром защиты персональных данных.
7.3. Ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.
[1] Национальный центр защиты персональных данных Республики Беларусь.