ПОЛИТИКА ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ВИЗАВИЗА" В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящая Политика разработана на основании абзаца третьего пункта 3 статьи 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных) в целях обеспечения прозрачного характера обработки персональных данных и определяет порядок и цели обработки персональных данных субъектов персональных данных в ООО «ВИЗАВИЗА» (далее – Организация), а также механизм реализации прав субъектов персональных данных в контексте указанной обработки персональных данных.
Особенности деятельности Организации по обработке персональных данных в определенных сферах и (или) в связи с определенными бизнес-процессами определяются иными локальными правовыми актами Организации.
Организация обеспечивает неограниченный доступ к настоящей Политике, в том числе с использованием глобальной компьютерной сети Интернет.
1.2. В настоящей Политике используются термины и понятия в значениях, определенных Законом о защите персональных данных.
1.3. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
- Посетителей и Клиентов Общества;
- посетителей интернет-сайтов магазинов сети;
- кандидатов на работу в Организации (далее – кандидаты на работу);
- работников Организации;
- бывших работников Организации;
- членов семьи работников Организации;
- руководителей (иных лиц, уполномоченных в соответствии с учредительными документами действовать от имени организации) юридических лиц, являющихся контрагентами (клиентами) Организации;
- индивидуальных предпринимателей и иных физических лиц, являющихся контрагентами (клиентами) Организации;
- граждан и представителей юридических лиц, направивших обращения в Организацию;
- граждан, обратившихся в Организацию за осуществлением административных процедур;
- физических лиц, относящихся к аффилированным лицам Организации;
- иных субъектов персональных данных, осуществляющих взаимодействие с Организацией.
1.4. Обработка персональных данных Организацией осуществляется в соответствии с Законом о защите персональных данных, иными актами законодательства о персональных данных, а также международными договорами Республики Беларусь.
1.5. В целях обеспечения защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных Организация принимает следующие меры:
- проведение внутреннего контроля за обработкой персональных данных;
- издание документов, определяющих политику Организации в отношении обработки персональных данных;
- обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Организации в отношении обработки персональных данных;
- ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями по защите персональных данных;
- обучение работников Организации, непосредственно осуществляющих обработку персональных данных, в порядке, установленном законодательством;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационных ресурсах (системах);
- осуществление технической и криптографической защиты персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
- проведение оценки эффективности принимаемых мер по обеспечению защиты персональных данных, выявление и прогнозирование рисков, связанных с обработкой персональных данных в Организации;
- иные меры, направленные на предупреждение рисков, которые могут возникнуть при обработке персональных данных для прав и свобод субъектов персональных данных.
1.6. Обработка персональных данных Организацией осуществляется:
- с использованием средств автоматизации;
- без использования средств автоматизации (когда обработка персональных данных осуществляется без использования электронно-вычислительных технологий при непосредственном участии человека).
1.7. Обработка персональных данных Организацией включает следующие действия с персональными данными:
- сбор;
- систематизация;
- хранение;
- изменение;
- использование;
- обезличивание;
- блокирование;
- распространение;
- предоставление;
- удаление;
- иные действия (их совокупность), совершаемые с персональными данными.
Персональные данные субъектов персональных данных не распространяются и не предоставляются третьим лицам без получения согласия субъектов персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и законодательством.
1.8. При обработке Организацией персональных данных независимо от правовых оснований такой обработки соблюдаются общие требования к обработке персональных данных, установленные статьей 4 Закона о защите персональных данных, в частности, требования:
- о соразмерности обработки персональных данных заявленным целям их обработки и обеспечении на всех этапах такой обработки справедливого соотношения интересов всех заинтересованных лиц;
- об ограничении обработки персональных данных достижением конкретных, заранее заявленных законных целей;
- о соответствии содержания и объема обрабатываемых персональных данных заявленным целям их обработки, исключении избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- об обеспечении прозрачного характера обработки персональных данных;
- о том, что хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
1.9. Организация вправе поручить обработку персональных данных уполномоченному лицу на основании гражданского-правового договора.
Уполномоченными лицами по отношению к Организации являются юридические и физические лица, оказывающие маркетинговые услуги, услуги по сбору и рассылке информации, услуги по обслуживанию программного обеспечения, иные контрагенты, которым Организацией передаются для выполнения полностью либо частично отдельные функции, бизнес-процессы, виды деятельности.
1.10. Трансграничная передача персональных данных может осуществлять при направлении работников Организации в служебные командировки за границу Республики Беларусь.
2. Обработка персональных данных покупателей и посетителей интернет-сайтов магазинов сети
2.1. Сбор персональных данных покупателей и посетителей интернет-сайтов магазинов сети осуществляется посредством получения от них согласий на обработку персональных данных:
- при посещении магазинов сети – в письменной форме;
- при посещении интернет-сайтов магазинов сети – в электронной форме.
2.2. Обработка персональных данных клиентов и посетителей интернет-сайта Общества.
2.3. Обработка персональных данных покупателей магазинов сети, осуществляется в следующих целях и на соответствующих правовых основаниях:
| Цель обработки персональных данных | Перечень обрабатываемых персональных данных | Правовое основание обработки персональных данных | Срок хранения персональных данных |
|---|---|---|---|
| Рассылка рекламной и иной информации, связанной с деятельностью Общества |
Номер мобильного телефона; Адрес электронной почты | Согласие в соответствии с пунктом 3 статьи 4 Закона | 3 года |
| Проведение маркетинговых исследований для оптимизации оказания услуги |
Возраст; Пол | Согласие в соответствии с пунктом 3 статьи 4 Закона | 3 года |
| Обеспечение охраны объектов (имущества) от противоправных посягательств | Видеоизображение | В соответствии с абзацем двадцатым статьи 6 Закона | До 30 календарных дней |
2.4. Обработка персональных данных посетителей интернет-сайта, осуществляется в следующих целях и на соответствующих правовых основаниях:
| Цель обработки персональных данных | Перечень обрабатываемых персональных данных | Правовое основание обработки персональных данных | Срок хранения персональных данных |
|---|---|---|---|
| Подготовка ответа на заявку "Обратная связь" | Собственное имя; адрес электронной почты | Согласие в соответствии с пунктом 3 статьи 4 Закона | 30 дней |
| Рассылка рекламной и иной информации, связанной с деятельностью Общества |
Номер мобильного телефона; адрес электронной почты | Согласие в соответствии с пунктом 3 статьи 4 Закона | 3 года |
2.5. Обработка персональных данных (номера мобильных телефонов и адреса электронной почты) покупателей и посетителей интернет-сайтов магазинов сети посредством рассылки рекламной и иной информации, связанной с деятельностью магазинов сети, осуществляется уполномоченными лицами Организации:
2.6. Срок хранения согласий на обработку персональных данных составляет 1 год после истечения срока действия согласия.3. Обработка персональных данных кандидатов на работу
3.1. Сбор персональных данных кандидатов на работу осуществляется посредством:
- заполнения кандидатами на работу электронной формы на интернет-сайте: vsevizy.by;
- направления резюме (анкеты) в письменной форме, подписанной кандидатом на работу, почтовым отправлением или представления такого документа в ходе личного приема;
- использования Организацией общедоступных информационных ресурсов, например, rabota.by, praca.by.
3.2. Обработка персональных данных кандидатов на работу осуществляется Организацией.
3.3. Обработка персональных данных кандидатов на работу осуществляется в следующих целях и на соответствующих правовых основаниях:
| Цель обработки персональных данных | Перечень обрабатываемых персональных данных | Правовое основание обработки персональных данных |
|---|---|---|
| Изучение и отбор кандидатов на работу |
Фамилия, собственное имя, отчество (если таковое имеется); год рождения (возраст); место жительства (населенный пункт); данные об образовании; данные о роде занятий; контактный номер телефона; адрес электронной почты |
Согласие в соответствии с пунктом 3 статьи 4 Закона при заполнении электронной формы на интернет-сайте. В соответствии с абзацем шестнадцатым статьи 6 Закона для резюме (анкеты), направленной в письменной форме или представленной в ходе личного приема. В соответствии с абзацем девятнадцатым статьи 6 закона для резюме (анкеты), полученной с использованием общедоступных информационных ресурсов |
3.4. Срок хранения персональных данных кандидатов на работу составляет:
- резюме (анкет), не принятых на работу, – 1 год;
- резюме (анкет), принятых на работу, – не более 7 рабочих дней после принятия решения о приеме на работу.
4. Обработка персональных данных представителей контрагентов организации
4.1. Обработка персональных данных руководителей (иных лиц, уполномоченных в соответствии с учредительными документами действовать от имени организации) юридических лиц, являющихся контрагентами (клиентами) Организации, осуществляется в целях заключения (подписания) гражданско-правовых договоров – в соответствии с абзацем двадцатым статьи 6 Закона о защите персональных данных, статьями 49 и 186 Гражданского кодекса Республики Беларусь.
В указанных целях осуществляется обработка следующих персональных данных:
- фамилия, собственное имя, отчество (если таковое имеется);
- занимаемая должность;
- собственноручная подпись;
- иные данные, необходимые для заключения (подписания) гражданско-правовых договоров;
4.2. Обработка персональных данных индивидуальных предпринимателей и иных физических лиц, являющихся контрагентами (клиентами) Организации, осуществляется в целях:
4.2.1. получения персональных данных на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором, – в соответствии с абзацем пятнадцатым статьи 6 Закона о защите персональных данных.
В указанных целях осуществляется обработка следующих персональных данных:
- фамилия, собственное имя, отчество (если таковое имеется);
- другие данные, необходимые для совершения действий, установленных договором;
4.2.2. заключения (подписания) гражданско-правовых договоров – в соответствии с абзацем двадцатым статьи 6 Закона о защите персональных данных и статьи 404 Гражданского кодекса Республики Беларусь.
В указанных целях осуществляется обработка следующих персональных данных:
- фамилия, собственное имя, отчество (если таковое имеется);
- данные о регистрации по месту жительства и (или) месту пребывания;
- собственноручная подпись;
- иные данные, необходимые для заключения (подписания) гражданско-правовых договоров.
4.3. Срок хранения персональных данных представителей контрагентов Организации составляет:
- содержащихся в первичных учетных документах – 3 года после проведения налоговыми органами проверки соблюдения налогового законодательства;
- содержащихся в гражданско-правовых договорах – 3 года после окончания срока действия договора.
5. Обработка персональных данных граждан и представителей юридических лиц, направивиших обращения в организацию
5.1. Обработка персональных данных граждан и представителей юридических лиц, направивших обращения в Организацию, осуществляется в целях рассмотрения обращений в соответствии с абзацем двадцатым статьи 6 Закона о защите персональных данных и Законом Республики Беларусь от 18 июля 2011 г. № 300-З «Об обращениях граждан».
В указанных целях осуществляется обработка следующих персональных данных:
- фамилия, собственное имя, отчество (если таковое имеется);
- данные о регистрации по месту жительства и (или) месту пребывания (для граждан);
- иные данные, содержащиеся в обращении.
5.2. Срок хранения персональных данных граждан и представителей юридических лиц, направивших обращения в Организацию, составляет 5 лет с даты последнего обращения (5 лет после окончания ведения книги замечаний и предложений).
6. Обработка персональных данных граждан, обратившихся в организацию за осуществлением административных процедур
6.1. Обработка персональных данных граждан, обратившихся в Организацию за осуществлением административных процедур, осуществляется в целях осуществления административных процедур в отношении граждан в соответствии с абзацем двадцатым статьи 6 Закона о защите персональных данных и Законом Республики Беларусь от 28 октября 2008 г. № 433-З «Об основах административных процедур».
В указанных целях осуществляется обработка персональных данных, предусмотренных перечнями административных процедур, осуществляемых уполномоченными органами в отношении граждан.
6.2. Срок хранения персональных данных, содержащихся в журналах регистрации документов по осуществлению административных процедур, составляет 3 года.
7. Обработка персональных данных физических лиц, относящихся к аффилированным лицам организации
7.1. Обработка персональных данных физических лиц, относящихся к аффилированным лицам Организации, осуществляется в целях ведения учета аффилированных лиц в соответствии с абзацем двадцатым статьи 6 Закона о защите персональных данных и частью третьей статьи 56 Закона Республики Беларусь от 9 декабря 1992 г. № 2020-XII «О хозяйственных обществах».
В указанных целях осуществляется обработка следующих персональных данных:
- фамилия, собственное имя, отчество (если таковое имеется);
- дата рождения;
- данные о регистрации по месту жительства и (или) месту пребывания.
7.2. Хранение персональных данных физических лиц, относящихся к аффилированным, осуществляется до прекращения оснований отнесения к аффилированным лицам.
8. Механизм реализации прав субъектов персональных данных
8.1. В соответствии с Законом о защите персональных данных субъекты персональных данных имеют право посредством подачи заявления Организации (ООО «ВИЗАВИЗА», г. Минск, ул. Гикало 5, пом. 3, 220005):
- в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
- на получение информации, касающейся обработки своих персональных данных;
- требовать внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
- получать информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено иными законодательными актами;
- требовать бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами.
8.2. Заявление субъекта персональных данных подается в письменной форме либо в виде электронного документа и должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
Организация не рассматривает заявления субъектов персональных данных, направленные иными способами (посредством электронной почты, телефонной и факсимильной связи и т.п.).
8.3. Субъекты персональных данных могут обратиться за содействием в реализации своих прав к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Организации.
8.4. Субъекты персональных данных вправе обжаловать действия (бездействие) и решения Организации, нарушающие их права при обработке персональных данных, в Национальный центр защиты персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
Принятое Национальным центром защиты персональных данных решение может быть обжаловано субъектами персональных данных в суд в порядке, установленном законодательством.