Политика конфиденциальности
о Политике в отношении обработки персональных данных
Частное производственно-торговое унитарное предприятие «Вилаттрейд» уделяет особое внимание защите персональных данных при их обработке в нашей организации и с уважением относится к соблюдению прав субъектов персональных данных.
Утверждение Положения о политике в отношении обработки персональных данных (далее – Политика) является одной из принимаемых Частным предприятием «Вилаттрейд» (далее, при необходимости – организация) мер, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З «О защите персональных данных».
Политика является локальным правовым актом Частного предприятия «Вилаттрейд», определяющим порядок работы по созданию в организации системы защиты персональных данных.
Политика регламентирует отношения организации и субъектов персональных данных в области защиты их персональных данных, разработана в целях упорядочения обращения с персональными данными, в том числе переданных организации в письменном, устном или электронном виде, и направлена на обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личной и семейной тайны, защиты от несанкционированного доступа и неправомерного распространения персональных данных, и действует в отношении всей информации, которую обрабатывает организация в качестве оператора.
Настоящая Политика применяется к обработке персональных данных:
пользователей интернет-сайта Частного предприятия «Вилаттрейд», др. интернет-ресурсов (при их наличии);
лиц, претендующих на трудоустройство;
в процессе и после прекращения трудовых отношений;
контрагентов (представителей контрагентов)/ клиентов (представителей клиентов) организации, в т.ч. потенциальных, которые в установленном законодательством порядке заключают с организацией гражданско-правовые договоры;
при осуществлении административных процедур в отношении соискателей работы, работников и бывших работников организации, членов их семей;
при осуществлении видеонаблюдении.
Настоящая Политика не применяется при обработке cookie-файлов на интернет-сайте Частного предприятия «Вилаттрейд».
1. Основные термины и определения:
Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
Физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
Оператор – Частное производственно-торговое унитарное предприятие «Вилаттрейд», юридический адрес: 220040, г. Минск, ул. Сурганова, 56-193; УНП 190918196, самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных;
Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, предоставление, удаление персональных данных;
Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
Блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
Интернет-ресурс – интернет-сайт, страница интернет-сайта, веб-портал, социальная сеть, форум, блог, чат, приложение для мобильного устройства (далее – мобильное приложение), мессенджеры и другие ресурсы, имеющие подключение к сети Интернет;
Сайт Оператора - https://mykey.by;
Пользователь – лицо, имеющее доступ к Сайту Оператора, иному интернет-ресурсу Оператора и использующее данный интернет-ресурс, и в отношении которого осуществляется обработка персональных данных;
IP-адрес – уникальный сетевой адрес, идентифицирующий устройство в интернете или локальной сети;
Файлы сookie (англ. cookies) – это небольшие фрагменты текста (текстовые файлы), передаваемые в браузер с сайта при его посещении пользователем для отражения совершенных пользователем действий и сохраненные веб-сервером в браузере компьютера (мобильного устройства) пользователя.
2. Общие положения.
2.1. Настоящая Политика определяет порядок и условия получения, обработки, хранения и защиты личных персональных данных, которые могут быть получены Оператором от лиц, являющихся согласно законодательству Субъектами персональных данных.
2.2. Политика определяет порядок организации работы по созданию у Оператора системы защиты персональных данных, основные принципы, цели, условия и способы обработки персональных данных, функции Оператора при обработке персональных данных, реализуемые Оператором требования к защите персональных данных, перечни субъектов и обрабатываемых Оператором персональных данных, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
2.3. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных, в том числе, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных), Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» и др.
2.4. Политика действует в отношении всех персональных данных, полученных Оператором:
- при обработке информации (резюме) кандидата на трудоустройство;
- при заключении трудового договора с работником, в процессе трудовых отношений с работником;
- при заключении, исполнении, изменении, расторжении сделок (гражданско-правовых договоров);
- в процессе указания Субъектом персональных данных, включая пользователей (посетителей) Сайта, др. интернет-ресурса Оператора своих личных данных при заполнении различных форм, анкет, бланков, заявок (заказов) и т.п. на бумажных носителях или в электронном виде, в т.ч. размещенных на Сайте, др. интернет-ресурсе Оператора;
- в устной форме непосредственно от Субъектов персональных данных;
- путем внесения персональных данных Субъектов в журналы, реестры и информационные системы Оператора;
- при получении от Субъектов персональных данных письменных обращений, предложений, в том числе внесенных в книгу замечаний и предложений, иных запросов, заявлений и (или) предоставленных ими документов различного характера;
- из общедоступных источников;
- иным законным путем.
2.5. Во исполнение требований п. 4 ст. 17 Закона о персональных данных Оператор (уполномоченное лицо Оператора) обеспечивает неограниченный доступ к настоящей редакции Политики, в том числе, путем размещения Политики в офисе Оператора, а также на Сайте Оператора и (или) на ином выбранном им информационном ресурсе, до начала обработки персональных данных.
Размещение Оператором полного текста Политики в электронном виде в свободном доступе на Сайте в глобальной сети Интернет является достаточным для обеспечения возможности ознакомления с текстом Политики для любого Субъекта персональных данных.
2.6. Политика обязательна для ознакомления лицами, передающими Оператору персональные данные, до передачи персональных данных.
2.7. В случаях, установленных законодательством о персональных данных, при предоставлении своих персональных данных Оператору при посещении (использовании) Сайта, иного интернет-ресурса Оператора, в т.ч. с целью регистрации на Сайте, создания личного кабинета, оформления заказа в разделе «Корзина», проведения оплаты в адрес Оператора, Субъект персональных данных путем проставления «галочки» в графе дачи согласия на обработку персональных данных и ознакомления с Политикой Оператора по обработке персональных данных, а также, при необходимости, путем проставления отметок в соответствующих графах формы Согласия на обработку персональных данных, размещенного на Сайте (ином интернет-ресурсе) и прилагающегося к настоящей Политике, выражает свое свободное, однозначное и информированное согласие на обработку его персональных данных на условиях, изложенных в настоящей Политике, и подтверждает, что ознакомлен с настоящей Политикой и согласен с ее условиями.
2.8. Субъект персональных данных вправе отозвать свое согласие в порядке, установленном Законом о защите персональных данных и настоящей Политикой.
2.9. Отказ в даче согласия на обработку персональных данных, когда такое согласие является необходимым в силу требований законодательства, дает право Оператору отказать в предоставлении доступа к Сайту (определенному разделу Сайта), к иному интернет-ресурсу Оператора, в предоставлении услуг или совершении определенных юридических действий в отношении Субъекта персональных данных.
2.10. Настоящая Политика действует только в отношении персональных данных, предоставляемых непосредственно Оператору. Оператор не контролирует и не несет ответственности за предоставление Субъектами персональных данных своих персональных данных третьим лицам, в т.ч. пользователями (посетителями) Сайта или иных интернет-ресурсов Оператора, своих персональных данных третьим лицам на других сайтах и интернет-ресурсах, на которые пользователи (посетители) Сайта могут перейти по ссылкам, доступным на Сайте или в ином интернет-ресурсе.
2.11. В целях реализации положений Политики у Оператора разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
- согласия Субъектов на обработку их персональных данных по формам, утвержденным Оператором;
- приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
- Положение о порядке осуществления внутреннего контроля за обработкой персональных данных;
- Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- Положение о Реестре обработки персональных данных;
- Положение о порядке уничтожения материальных носителей персональных данных;
- Положение о видеонаблюдении;
- иные локальные правовые акты и документы, регламентирующие у Оператора вопросы обработки персональных данных.
3. Перечень Субъектов, персональные данные которых обрабатывает Оператор.
3.1. Оператор осуществляет обработку персональных данных в целях, объеме, на правовых основаниях и в сроки применительно к каждой категории Субъектов персональных данных согласно утвержденному Оператором Реестру обработки персональных данных.
3.2. Оператор обрабатывает персональные данные следующих Субъектов:
- работники Оператора, уволенные работники, члены семьи работников, кандидаты на замещение вакантных должностей;
- лица, заинтересованные в приобретении товаров и услуг Оператора – покупатели, заказчики/ клиенты Оператора (в т.ч. потенциальные), являющиеся физическими лицами;
- контрагенты Оператора, являющиеся физическими лицами и сотрудничающие с Оператором на основании гражданско-правовых договоров;
- представители, работники (физические лица) контрагентов/клиентов Оператора (в т.ч. потенциальных), являющихся юридическими лицами или индивидуальными предпринимателями;
- пользователи (посетители) Сайта (др. интернет-ресурса) Оператора;
- граждане, обратившиеся (обращающиеся) за осуществлением административной процедуры;
- граждане, подающие (подавшие) заявления, обращения, предложения, жалобы, в том числе, путем внесения в книгу замечаний и предложений;
- лица, предоставившие персональные данные путем оформления подписок на рассылку, при отправке отзывов, обращений, путем заполнения анкет в ходе проводимых рекламных мероприятий, маркетинговых и (или) иных активностей (акций, конкурсов, игр и других мероприятий);
- другие Субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 5 Политики).
4. Объем и содержание персональных данных, предоставляемых Субъектами персональных данных, и обрабатываемых Оператором:
4.1. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются Субъектом персональных данных добровольно и включают в себя следующую информацию *:
- фамилия, имя, отчество (при наличии);
- паспортные данные или данные иного документа, удостоверяющего личность (номер документа, гражданство, дата выдачи, срок действия);
- адрес регистрации по месту жительства и (или) месту пребывания;
- контактные данные (номер личного/рабочего мобильного телефона, адрес электронной почты);
- данные о платежных инструментах, в том числе данные банковских карт;
- cведения о трудовой деятельности (включая данные об образовании, стаже и опыте работы, о месте работы, должности, специальности, профессии, квалификации, повышении квалификации и профессиональной переподготовке);
- сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
- данные свидетельства о рождении (номер, дата выдачи, наименование органа, выдавшего документ, и др.) (при необходимости);
- номер и серию страхового свидетельства государственного социального страхования;
- сведения о социальных льготах и выплатах;
- страховые данные, в том числе данные о факте заключенного договора со страховой организацией, номер, серия и иные реквизиты страхового свидетельства или застрахованного лица, другие, связанные с этим данные;
- сведения о воинском учете;
- сведения, предоставленные кандидатом на трудоустройство в ходе заполнения личностных опросников; иные данные, которые могут быть указаны в резюме или анкете кандидата;
- фото- видеоизображение, в т.ч. с камер видеонаблюдения, аудио-воспроизведение голоса Субъекта персональных данных;
- транзакционные данные – информация о совершенных Субъектом персональных данных действиях, в том числе на Сайте, др. интернет-ресурсе Оператора;
- иные сведения, необходимость внесения которых предусмотрена формой сотрудничества с Оператором.
4.2. Специфика взаимодействия Субъекта персональных данных с Оператором влечет (может повлечь) предоставление сведений, которые могут быть отнесены к персональным данным при условии возможности идентификации физического лица:
- текстовые данные и резервные копии файлов - переписка с Субъектом персональных данных как в бумажном, так и в электронном виде в открытых линиях, в т.ч. по официальным каналам связи Оператора, посредством электронной почты (личной или корпоративной), в мессенджерах (например, Telegram, Skype, Viber, WhatsApp), социальных сетях (например, Instagram, Facebook) и специальных программах, в том числе в чатах и личных сообщениях с использованием рабочих телефонов и учетных записей в специальных программах сотрудников Оператора, в ходе которой может быть передана информация, относящаяся к персональным данным;
- иные данные, которые предоставляются в случае необходимости или по усмотрению (по желанию) Субъекта персональных данных, и в соответствии с законодательством являются персональными данными.
* Указанный перечень является обобщенным.
4.3. Содержание и объем персональных данных каждой категории Субъектов определяется необходимостью достижения конкретных целей их обработки, необходимостью Оператора реализовать свои права и обязанности, а также права и обязанности соответствующего Субъекта, и не являются избыточными по отношению к заявленным целям их обработки.
4.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки согласно утвержденному Оператором Реестру обработки персональных данных.
5. Цели обработки персональных данных.
5.1. Оператор осуществляет обработку персональных данных в следующих целях:
- заключение трудовых договоров с работниками, обработка персональных данных в процессе трудовых отношений с работниками; обработка информации (резюме) кандидата на трудоустройство;
- ведение бухгалтерского, налогового, кадрового учета;
- заключение, исполнение, изменение и прекращение гражданско-правовых договоров с Субъектами персональных данных;
- уведомление Субъекта персональных данных в целях исполнения заключенного договора о товарах/услугах, реализуемых Оператором; предоставление информации о деятельности Оператора;
- коммуникация с Субъектом персональных данных в рамках исполнения договорных обязательств, а также для выполнения обязанностей (полномочий), предусмотренных законодательными актами, с помощью различных средств связи, включая, но не ограничиваясь: почтовая рассылка, электронная почта, телефон, факсимильная связь, сеть Интернет, а также форм обратной связи на Сайте Оператора, др. интернет-ресурсе Оператора при:
регистрации Субъекта персональных данных на Сайте Оператора, др. интернет-ресурсе Оператора, создании и использовании личного кабинета (учетной записи) на Сайте,
создании (оформлении) заказа на Сайте Оператора (через иные интернет-ресурсы) и/или в торговых объектах,
осуществлении контроля статуса заказа, получении информации о заказе, о поступлении товара, о возможности доставки товара,
обработке запросов, направлении документов на оплату, предоставлении ответов на заявления, обращения, жалобы и т.п.;
- идентификация Субъекта персональных данных, как зарегистрированного пользователя Сайта, для его дальнейшей авторизации при взаимодействии и оказании услуг;
- предоставление Субъекту персональных данных эффективной клиентской и технической поддержки (в случае необходимости) при возникновении проблем, связанных с использованием Сайта;
- рассмотрение обращений, предложений, в том числе внесенных в книгу замечаний и предложений, иных запросов со стороны Субъектов персональных данных и (или) предоставленных им документов;
- соблюдения законодательства при ведении административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности; осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов; осуществления контроля (надзора) в соответствии с законодательными актами;
- определения места нахождения Субъекта персональных данных для обеспечения безопасности, предотвращения мошенничества;
- направления уведомлений, информации и запросов, связанных со сбором, хранением и обработкой персональных данных;
- обеспечения общественного порядка, защиты интересов Оператора (видеонаблюдение);
- в иных законных целях.
5.2. Все действия Оператора по обработке персональных данных зависят от конкретной цели обработки и осуществляются только в объеме, необходимом и достаточном для цели обработки.
6. Обработка персональных данных. Уполномоченные лица.
6.1. Оператор при получении, обработке, передаче и хранении персональных данных руководствуется законодательством и принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Обработка персональных данных осуществляется Оператором исключительно после ознакомления Субъекта персональных данных с текстом настоящей Политики.
6.3. Оператор осуществляет следующие действия с персональными данными: сбор (получение), обработку (запись, систематизацию, накопление, уточнение, обновление, изменение, извлечение, использование), хранение, передачу, уничтожение (обезличивание, блокирование, удаление) персональных данных в целях, указанных в Политике.
6.4. Оператор осуществляет обработку персональных данных следующими способами:
- с использованием средств автоматизации;
- без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое);
- смешанным способом.
6.5. Правовыми основаниями обработки персональных данных являются:
6.5.1. абз. 15 ст. 6 Закона о защите персональных данных, а именно: обработка персональных данных, полученных Оператором на основании договора, заключенного (заключаемого) с Субъектом персональных данных в целях совершения действий, установленных этим договором;
6.5.2. абз. 16 ст. 6Закона о защите персональных данных, а именно: при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном Субъектом персональных данных, в соответствии с содержанием такого документа;
6.5.3. абз. 8 ст. 6 Закона о защите персональных данных, а именно: при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности Субъекта персональных данных в случаях, предусмотренных законодательством;
6.5.4. абз. 20 ст. 6 Закона о защите персональных данных, а именно: в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
6.5.5. абз. 21 ст. 6 Закона о защите персональных данных, а именно: обработка персональных данных без согласия Субъекта персональных данных на основании законодательных актов;
6.5.6. согласие Субъекта персональных данных (если отсутствуют иные правовые основания для такой обработки (п.10 Политики)), по форме, утвержденной Оператором.
6.6. Оператор обязан принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их.
6.7. Оператор обязан обеспечить конфиденциальность полученных персональных данных, без согласия Субъекта персональных данных или иного правового основания не вправе раскрывать и передавать (распространять) любыми способами третьим лицам персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
6.8. Передача персональных данных.
6.8.1. Передача персональных данных Субъектов третьим лицам допускается только при наличии согласия Субъекта либо иного законного основания, в объеме, необходимом и достаточном для целей такой передачи.
6.8.2. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
6.9. При получении запросов от государственных органов персональные данные Субъекта могут быть переданы уполномоченным органам государственной власти Республики Беларусь только по основаниям и в порядке, установленным законодательством Республики Беларусь.
6.10. Доступ к персональным данным предоставляется только тем сотрудникам Оператора, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.
6.11. Срок, на который даётся согласие Субъекта персональных данных на обработку персональных данных:
- срок, необходимый для достижения целей, на которые предоставляются персональные данные (например, на срок осуществления доставки товара покупателю, на срок исполнения договора, на срок ответа на обращение), если иные сроки не установлены законодательными актами;
- в течение 5 (пяти) лет после окончания срока действия гражданско-правового договора, на основании которого осуществляется обработка персональных данных;
- на соответствующий установленный законодательством срок – если сбор и обработка персональных данных осуществляется на основании выполнения Оператором своих обязательств, предписанных законодательством;
- на срок пользования Субъектом персональных данных Сайтом (иным интернет-ресурсом) Оператора;
- на срок, указанный в согласии Субъекта персональных данных.
6.12. Для целей обработки персональных данных Оператор по договору может поручить обработку персональных данных уполномоченному лицу на условиях соблюдения данным лицом требований законодательства Республики Беларусь о персональных данных, в частности, лицам, осуществляющим IT-поддержку, системное администрирование, лицам, являющимся поставщиками услуг программного обеспечения, для ведения бухгалтерского учета и отчетности, кадрового учета, лицам, выполняющим работы и оказывающим услуги Оператору по гражданско-правовым договорам, в рамках которых данные лица получают доступ к персональным данным Субъектов.
Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению Оператора, содержится в Приложении № 2 к настоящей Политике.
В случае, если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед Субъектом персональных данных за действия указанного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.
Условия договоров, заключенных с уполномоченными лицами, предусматривают порядок взаимодействия Оператора и уполномоченного лица в сфере обработки и защиты персональных данных, обязательное обеспечение уполномоченным лицом условий конфиденциальности, а также принятие уполномоченным лицом правовых, организационных и технических мер по защите персональных данных.
6.13. Работники уполномоченного лица, непосредственно осуществляющие обработку персональных данных, должны быть в обязательном порядке ознакомлены с положениями законодательства о персональных данных, в том числе, с требованиями по защите персональных данных, а также документами, определяющими политику уполномоченного лица в отношении обработки персональных данных.
7. Права Субъектов персональных данных и механизм их реализации.
7.1. Субъекты персональных данных имеют право:
7.1.1. На отзыв своего согласия на обработку персональных данных в любое время без объяснения причин. Оператор обязан после получения заявления в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом Субъекта персональных данных, за исключением случаев, когда Оператор имеет иные предусмотренные законодательством основания для обработки таких данных.
При отсутствии технической возможности удаления персональных данных Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом Субъекта персональных данных в срок, предусмотренный для ответа.
Оператор вправе отказать Субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом Субъекта персональных данных в срок, предусмотренный для ответа.
Право на отзыв согласия Субъекта персональных данных может быть реализовано только в том случае, когда правовым основанием обработки персональных данных выступает согласие Субъекта персональных данных.
В случаях, когда обработка персональных данных осуществляется без согласия Субъекта персональных данных на ином правовом основании, Субъект персональных данных рассматриваемым правом не обладает, и при поступлении заявления от Субъекта персональных данных о реализации права на отзыв согласия Оператор сообщает ему о невозможности реализации данного права.
7.1.2. На получение информации, касающейся обработки персональных данных.
Субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации. Информация должна содержать:
- наименование и место нахождения Оператора;
- подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);
- персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано согласие;
- наименование и место нахождения уполномоченного лица, если обработка персональных данных поручена такому лицу;
- иную информацию, предусмотренную законодательством.
Предоставляется такая информация Субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.
В случаях, предусмотренных законодательством, Оператор вправе не предоставлять Субъекту вышеуказанную информацию (п.3 ст.11 Закона о персональных данных).
7.1.3. Требовать от Оператора внесения изменений в персональные данные, если персональные данные являются неполными, устаревшими или неточными. При этом следует предоставить Оператору соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные.
7.1.4. Получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в течение календарного года бесплатно, если иное не предусмотрено иными законодательными актами.
Оператор предоставляет информацию о том, какие персональные данные Субъекта персональных данных и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет Субъекта персональных данных о причинах отказа в ее предоставлении. Информация о предоставлении персональных данных третьим лицам может не предоставляться, если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции, а также в случаях, предусмотренных пунктом 3 статьи 11 Закона о персональных данных.
7.1.5. Требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами, например:
- при обработке персональных данных по истечении установленного срока их хранения;
- если персональные данные носят избыточный характер;
- если нет надлежащего правового основания для обработки персональных данных.
Оператор при отсутствии оснований для обработки персональных данных обязан прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом Субъекта персональных данных.
При отсутствии технической возможности удаления персональных данных Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом Субъекта персональных данных.
Оператор вправе отказать Субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом Субъекта персональных данных.
7.1.6. На обжалование действий (бездействия) и решений Оператора, нарушающих права Субъекта при обработке его персональных данных, в Национальный центр по защите персональных данных. Принятое этим органом решение может быть обжаловано в суде в порядке, установленном законодательством.
7.1.7. На возмещение морального вреда.
Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Субъектом персональных данных убытков. Компенсация морального вреда осуществляется в соответствии с гражданским и гражданско-процессуальным законодательством.
7.2. Для реализации вышеперечисленных прав Субъект персональных данных может обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора. Для этого Субъект персональных данных подает заявление в письменной форме путем направления в адрес Оператора заказной почтовой корреспонденции или нарочно по адресу: 220035, г. Минск, ул. Тимирязева, д. 8, пом. 211, либо в электронном виде через специальную форму на Сайте Оператора https://mykey.by, сделав соответствующую пометку в графе «тема» письма: «Запрос о персональных данных» или «Отзыв согласия на обработку персональных данных», а также изложив запрос или отзыв в тексте письма. Оператор не рассматривает заявления Субъектов персональных данных, направленные иными способами (мессенджеры, факс и т.п).
7.3. Заявление Субъекта персональных данных должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания) Субъекта персональных данных;
- дату рождения;
- идентификационный номер Субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность Субъекта персональных данных, в случаях, если эта информация указывалась Субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия Субъекта персональных данных;
- изложение сути требования;
- личную подпись либо электронную цифровую подпись Субъекта персональных данных.
7.4. Ответ на заявление направляется Субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
7.5. Срок ответа на заявление зависит от реализуемого Субъектом персональных данных права.
Реализуемое право субъекта персональных данных |
Срок ответа субъекту персональных данных |
Действия Оператора |
Отзыв согласия |
15 дней после получения заявления |
Прекратить обработку персональных данных, осуществить их удаление/ Отказать и уведомить о причинах отказа |
Получение информации об обработке персональных данных |
5 дней после получения заявления |
Предоставить в доступной форме информацию, касающуюся обработки персональных данных/ Отказать и уведомить о причинах отказа в ее предоставлении |
Внесение изменений в персональные данные |
15 дней после получения заявления |
Внести соответствующие изменения в персональные данные и уведомить об этом субъекта персональных данных / Отказать и уведомить о причинах отказа во внесении таких изменений |
Получение информации о предоставлении персональных данных третьим лицам |
15 дней после получения заявления |
Предоставить информацию / Отказать и уведомить о причинах отказа в ее предоставлении |
Прекращение обработки персональных данных (их удаление) |
15 дней после получения заявления |
Прекратить обработку персональных данных, осуществить их удаление/ Отказать и уведомить о причинах отказа |
7.6. В случае отказа, Субъекту персональных данных разъясняются причины такого отказа в срок, предусмотренный для дачи ответа.
8. Права Оператора:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных, и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
- получать от Субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;
- запрашивать у Субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
- отказать Субъекту персональных данных в обработке персональных данных при наличии сомнений в достоверности и (или) актуальности предоставленной информации и отказе Субъекта персональных данных подтвердить её достоверность и (или) актуальность;
- иные права в соответствии с законодательством.
9. Хранение и защита персональных данных.
9.1. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать Субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
9.2. Персональные данные хранятся:
- на бумажных носителях;
- в электронном виде в форме компьютерных файлов;
- в специализированных системах Оператора, обеспечивающих автоматическую обработку, хранение, систематизацию информации.
9.3. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
9.4. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Персональные компьютеры защищены индивидуальными паролями доступа. Хранение персональных данных в электронном виде вне применяемых Оператором информационных ресурсов (систем) и баз данных (внесистемное хранение персональных данных) не допускается.
9.5. Меры по обеспечению защиты персональных данных, принимаемые Оператором (включая, но не ограничиваясь):
- установление внутреннего контроля за обработкой персональных данных, в т.ч. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
- ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
- ознакомление работников Оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику Оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
- предъявление требований к уполномоченным лицам и иным лицам, непосредственно осуществляющим обработку персональных данных, о предоставлении информации и документов, подтверждающих соблюдение ими надлежащего уровня защиты получаемых от Оператора персональных данных;
- установление и поддержание в актуальном состоянии: а) перечня информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является Оператор; б) категорий персональных данных, подлежащих включению в такие ресурсы (системы); общедоступных персональных данных; специальных персональных данных (изображение, голос Субъекта персональных данных); персональных данных, не являющихся общедоступными или специальными; в) перечня уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами; г) срока хранения обрабатываемых персональных данных.
- организация учета документов и цифровых носителей, содержащих персональные данные;
- организация работы с информационными ресурсами (системами), в которых обрабатываются персональные данные;
- хранение персональных данных в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- осуществление технической и криптографической защиты персональных данных в порядке, установленном законодательством;
- выявление угрозы безопасности при обработке персональных данных;
- ведение различных журналов и иных документов по учету лиц, получивших доступ к персональным сведениям, третьих лиц, которым предоставлялись персональные данные, учета полученных согласий, учета заявлений Субъектов персональных данных по реализации их прав и ответов на них, и т.п.;
- при неавтоматизированной обработке определяются места хранения персональных данных, в т.ч. сейфы, шкафы, стеллажи, тумбы, оборудованные замками;
- принятие необходимых мер по удалению и (или) уточнению неполных или неточных данных;
- установление порядка удаления информации, содержащей персональные данные.
9.6. Работники Оператора (уполномоченных лиц), работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.
9.7. Оператор осуществляет изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных Субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами.
10. Согласие Субъекта персональных данных на обработку персональных данных не требуется в случаях, предусмотренных статьей 8 Закона о защите персональных данных.
11. Трансграничная передача данных.
11.1. Оператор не осуществляет трансграничную передачу персональных данных.
11.2. Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Оператором, если:
11.2.1. на территории иностранного государства обеспечивается надлежащий уровень защиты прав Субъектов персональных данных** – без ограничений при наличии правовых оснований, предусмотренных законодательством;
11.2.2. на территории иностранного государства не обеспечивается надлежащий уровень защиты прав Субъектов персональных данных - в случаях, предусмотренных статьей 9 Закона о защите персональных данных, в том числе:
- когда дано согласие Субъекта персональных данных при условии, что Субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- при размещении информации о своей деятельности в глобальной компьютерной сети Интернет;
- когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
** Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 «О трансграничной передаче персональных данных».
12. Видеонаблюдение.
12.1. Оператором может осуществляться видеофиксация и/или видеонаблюдение в интересах обеспечения производственно-технологической, исполнительской и трудовой дисциплины, общественного порядка и безопасности на территории Оператора, охраны жизни и здоровья работников и посетителей Оператора, с целью контроля доступа посетителей, защиты имущества Оператора (материальных ценностей) от причинения вреда (убытков) и предотвращения иных противоправных посягательств; с целью фиксации правонарушений и предоставления информации по запросам соответствующих служб и государственных органов в случаях, предусмотренных действующим законодательством.
12.2. В помещениях и на территории Оператора, где ведется видеосъемка и/или видеонаблюдение, работники и посетители оповещаются о видеонаблюдении специальными информационными надписями и символами (знаками, табличками) установленного типа.
12.3. Видеозаписывающие материалы обрабатываются в соответствии с законодательством и Положением о видеонаблюдении, действующим у Оператора. Положением о видеонаблюдении устанавливается, в том числе, срок хранения видеоматериалов, порядок доступа к видеоматериалам, порядок их удаления, права Субъектов персональных данных при осуществлении видеонаблюдения у Оператора.
- 13. Персональные данные подлежат удалению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Республики Беларусь, или по истечении сроков их хранения.
- 14. Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом Субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.
- 15. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
- 16. Оператор имеет право в одностороннем порядке вносить изменения в настоящую Политику без предварительного и (или) последующего уведомления Субъектов персональных данных.
- 17. Действующая редакция настоящей Политики доступна в офисе Оператора, а также на Сайте Оператора. При этом, продолжая пользоваться Сайтом (иным интернет-ресурсом, где размещена настоящая Политика) после изменения настоящей Политики, Субъект персональных данных подтверждает своё согласие с внесенными изменениями.
- 18. Настоящая Политика вступает в силу с «01» января 2022 г.