Политика ООО «Формэль» в отношении обработки и защиты персональных данных субъектов
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика Общества с ограниченной ответственностью «Формэль» (далее – организация) в отношении обработки персональных данных (далее — Политика) определяет основные цели и правовые основания обработки персональных данных, перечни субъектов и обрабатываемых в организации персональных данных, порядок, условия, способы и принципы обработки персональных данных, права субъектов персональных данных, обязанности организации при обработке персональных данных, а также реализуемые в организации требования к защите персональных данных.
1.2. Политика разработана с учетом требований законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
1.3. В настоящей Политике используются следующие термины и их определения:
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных — прекращение доступа у персональным данным без их удаления.
Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Неавтоматизированная обработка персональных данных — обработка персональных данных, при непосредственном участии человека.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Оператор (персональных данных) — ООО «Формэль», 222932, Республика Беларусь, Минская обл., г. Старые Дороги, ул. Комсомольская, д. 50, к. 12, почтовый адрес: 223034, Республика Беларусь, Минская обл., г. Заславль, ул. Путейко,1, УНП 690719790
Персональные данные — любая информация, относящаяся к идентифицируемому физическому лицу или физическому лицу, которое может быть идентифицировано.
Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц.
Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства
Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Политика определяется в соответствии со следующими нормативными правовыми актами и документами уполномоченных органов государственной власти:
- Конституция Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»
- Закон Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных»;
- Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
Обработка персональных данных организацией осуществляется:
- с использованием средств автоматизации;
- без использования средств автоматизации, но при этом их поиск и (или) доступ к ним производится по определенным критериям (списки, базы данных, картотеки и т.п.).
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Организация осуществляет обработку персональных данных в следующих целях:
· ведения базы данных кандидатов на замещение вакантной должности, рассмотрения резюме, проведения анкетирования кандидатов и проверки достоверности указанных кандидатом сведений для подбора персонала на вакантные должности и дальнейшего трудоустройства в организации;
· ведения кадровой работы и организации кадрового, воинского учета работников;
· организации прохождения практики для студентов и учащихся СУЗов/ВУЗов, их анкетирования;
· оформлении доверенностей, иных документов для представления интересов организации в отношениях с третьими лицами (в том числе командировки);
· обеспечения пропускного и внутриобъектового режимов, а также контроля соблюдения пропускного режима на объектах организации, режима рабочего времени работников организации;
· содействия в обучении и профессиональном развитии, контроля количества и качества выполняемой работы, обеспечения сохранности имущества;
· проверки благонадежности контрагента, подготовки и направления коммерческих предложений (в том числе для участия в тендере), согласования и подготовки к совершению, совершения, изменения, расторжения и исполнения сделок (в том числе соглашений о конфиденциальности), проверки полномочий лиц, уполномоченных на заключение сделок;
· обеспечения соблюдения законодательства и ненормативных правовых актов;
· начисления заработной платы, исчисления, удержание и перечисления подоходного налога, страховых взносов и иных платежей, составления отчетности, назначения и выплаты пенсий, пособий;
· формирования справочных материалов для внутреннего информационного обеспечения деятельности организации;
· размещения сведений в информационных материалах на официальном сайте организации в сети Интернет;
· использование персональных данных в рекламных и маркетинговых целях, в том числе направление субъекту персональных данных уведомлений, коммерческих предложений, сообщений информационного и рекламного характера, связанных с деятельностью организации;
· выпуска, продления, использования электронной цифровой подписи;
· сбора информации через формы обратной связи, опросов, интервью, тестов, сбора статистической информации, администрирования сайта организации, регистрация и обслуживание аккаунтов на сайте организации;
· осуществления коммуникаций с субъектами персональных данных, обработки обращений и запросов, получаемых от субъектов персональных данных;
· оценки качества произведенных товаров, выполненных работ, оказанных услуг;
· реализации социальных проектов.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных, а в случаях, предусмотренных Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» и иными законодательными актами и без такого согласия.
4. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ
4.1. В организации обрабатываются персональные данные следующих категорий субъектов:
- кандидаты на замещение вакантных должностей;
- работники организации, бывшие работники, их супруги и близкие родственники;
- учащиеся, студенты, иные лица, прибывшие для прохождения практики;
- представители контрагентов-юридических лиц;
- контрагенты-физические лица, в том числе индивидуальные предприниматели;
- лица, направившие обращение в организацию;
- посетители сайта организации;
- участники организации, их законные представители;
- представители потенциальных контрагентов организации.
5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ОРГАНИЗАЦИИ
5.1. Перечень персональных данных, обрабатываемых в организации, определяется в соответствии с законодательством Республики Беларусь и локальными нормативными актами организации с учетом целей обработки персональных данных, указанных в разделе 2 настоящей Политики.
5.2. В организации обрабатываются следующие персональные данные субъектов персональных данных:
Фамилия, собственное имя, отчество (при его наличии) (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения), дата рождения, данные документа, удостоверяющего личность, идентификационный номер, данные свидетельства социального страхования ;
УНП, фото, гражданство, место работы, должность, сведения о доходах, контактная информация (номер телефона, адрес электронной почты, адрес места жительства и места пребывания), сведения об образовании (в том числе специальных навыках (например: опыт вождения и водительское удостоверение и т.п.), место учебы, факультет, специальность, год и месяц окончания обучения, степень владения иностранными языками, сведения, содержащиеся в резюме, сведения о трудовой деятельности, биографические сведения (в том числе место рождения), сведения о состоянии здоровья, сведения о составе семьи и ближайших родственниках и подтверждающие эти данные документы, отношение к военной службе, банковские реквизиты (расчетный счет, БИК), электронная подпись (при наличии), сведения, содержащиеся в обращении, IP-адрес, файлы cookies.
5.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в организации не осуществляется.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных в организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
6.2. Организация осуществляет сбор, систематизацию, хранение, изменение, использование, предоставление, распространение, обезличивание, блокирование, удаление персональных данных.
6.3. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.
6.4. Организация без согласия субъекта персональных данных не предоставляет третьим лицам и не распространяет персональные данные, если иное не предусмотрено законом.
6.5. Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не установлено законом, на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных.
6.6. В целях внутреннего информационного обеспечения организация может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, абонентский номер, адрес электронной почты, фото и иные персональные данные, сообщаемые субъектом персональных данных.
6.7. Доступ к персональным данным ограничивается в соответствии с законодательными актами и локальными нормативными актами организации.
6.8. Обработка персональных данных может осуществляться:
- работниками организации, занимающими должности, включенные в Перечень подразделений и должностных лиц, допущенных к обработке персональных данных в организации;
- уполномоченным лицом, осуществляющим обработку персональных данных по поручению организации.
6.9. Работники организации, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных, которые определены трудовым договором, должностными инструкциями и локальными нормативными актами организации по обработке персональных данных.
6.10. Обработка персональных данных третьими лицами может осуществляться только на основании соответствующего договора с организацией с соблюдением требований пункта 6.5. настоящей Политики.
6.11. Доступ представителей государственных органов к персональным данным регламентируется действующим законодательством Республики Беларусь.
6.12. Персональные данные работников организации могут быть предоставлены третьим лицам только с письменного согласия работника, за исключением случаев, предусмотренных действующим законодательством Республики Беларусь.
6.13. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
- такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
- получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
6.14. Лицо, уполномоченное организацией на обработку персональных данных, перед передачей персональных данных субъектов персональных данных на территорию иностранного государства обязано убедиться в соблюдении условий, предусмотренных п. 6.13. настоящей Политики.
7. СРОКИ ОБРАБОТКИ, В ТОМ ЧИСЛЕ ХРАНЕНИЯ, ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Сроки обработки, в том числе хранения, персональных данных работников организации и других субъектов персональных данных на бумажных и иных материальных носителях, а также в информационных системах персональных данных определяются организацией в соответствии с законодательством Республики Беларусь.
7.2. Если сроки обработки персональных данных не установлены законом, их обработка и хранение осуществляются не дольше, чем этого требуют цели обработки, в том числе хранения, персональных данных.
7.3. Организация прекращает обрабатывать ПД, если:
- достигнута цель обработки, в том числе хранения, персональных данных либо миновала необходимость в достижении цели;
- истек срок действия согласия субъекта или субъект отозвал согласие на обработку персональных данных и у организации нет иных, предусмотренных законодательством Республики Беларусь, оснований для обработки персональных данных;
- обнаружена неправомерная обработка персональных данных;
- прекращена деятельность организации.
8. ПРИНЦИПЫ ОБРАБОТКИ ПДН
8.1. Обработка персональных данных в организации осуществляется с учетом необходимости обеспечения защиты прав и свобод работников организации и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с заявленными целями их обработки. В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом «О защите персональных данных» и иными законодательными актами
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- обрабатываемые персональные данные должны быть достоверными, при необходимости подлежат обновлению;
- хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
9. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Субъект персональных данных, чьи персональные данные обрабатываются в организации, имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки его персональных данных организацией;
- правовые основания и цели обработки персональных данных;
- его персональные данные и источник их получения;
- срок, на который дано его согласие;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу;
- о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно
- иную информацию, предусмотренную законодательством.
9.2. Субъект персональных данных вправе требовать от организации внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает заявление с приложением соответствующих документов и/или заверенных в установленном порядке копий документов, подтверждающих необходимость внесения изменений в персональные данные.
9.3. В случае получения соответствующего заявления от субъекта персональных данных организация в установленный законодательством срок обязана:
- предоставить субъекту персональных данных в доступной форме информацию, указанную в п.9.1. настоящей Политики, либо уведомить о причинах отказа в ее предоставлении;
- внести изменения в персональные данные субъекта и уведомить об этом субъекта персональных данных либо уведомить его о причинах отказа во внесении таких изменений.;
- прекратить обработку персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством Республики Беларусь, и уведомить об этом субъекта персональных данных. Организация вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательством, с уведомлением об этом субъекта персональных данных.
9.4. Для ответа на заявление субъекта персональных данных организация может запросить дополнительную информацию, подтверждающую участие субъекта персональных данных в отношениях с организацией (номер договора, дата заключения, иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных субъекта организацией.
9.5. Свои права субъект персональных данных реализует путем подачи заявления в письменной форме либо в виде электронного документа, в случаях предусмотренных законодательными актами обязательно личное присутствие субъекта персональных данных и предъявление документа, удостоверяющего личность.
Заявление субъекта персональных данных должно содержать:
- его фамилию, собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания);
- дату рождения;
- идентификационный номер, при отсутствии такового – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия организации или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований
- личную подпись или электронную цифровую подпись.
10. ОБЯЗАННОСТИ ОРГАНИЗАЦИИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. При обработке персональных данных организация обязана:
10.1.1. Получить согласие субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
10.1.2. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
10.1.3. обеспечивать защиту персональных данных в процессе их обработки;
10.1.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
10.1.5. вносить изменения в персональный данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
10.1.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами;
10.1.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как организации стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
10.1.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
10.1.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
10.1.10. выполнять иные обязанности, предусмотренные законодательными актами.
11. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ ВЕБ-САЙТА КОМПАНИИ
11.1. Организацией может осуществляться обработка персональных данных посетителей официального сайта организации с целью сбора информации через формы обратной связи, сбора статистической информации и администрирования сайта.
11.2. Предоставляя организации свои персональные данные через официальный сайт организации в глобальной компьютерной сети Интернет субъект персональных данных выражает согласие на обработку его персональных данных на условиях, предусмотренных настоящей Политикой и соглашается с Условиями использования сайта организации.
12. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Организация обеспечивает безопасность персональных данных в порядке, установленном действующим законодательством Республики Беларусь в области персональных данных.
12.2. Безопасность персональных данных в организации обеспечивается принятием правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
13. ВНУТРЕННИЙ КОНТРОЛЬ
13.1. В целях проверки соответствия обработки персональных данных в структурных подразделениях организации законодательству Республики Беларусь и локальным нормативным актам организации в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений, в организации может проводиться внутренний контроль соответствия процессов обработки и защиты персональных данных требованиям нормативных правовых актов Республики Беларусь в соответствии с ежегодным планом осуществления внутреннего контроля.
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
14.1. Лица, виновные в нарушении положений законодательства Республики Беларусь и локальных нормативных актов организации в области персональных данных, несут ответственность, предусмотренную законодательными актами Республики Беларусь.
14.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных законом Республики Беларусь от 07.05.2021 г. №99-З «О защите персональных данных» подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
15.1. Настоящая Политика является общедоступной. Неограниченный доступ к настоящей Политике обеспечивается путем ее опубликования на официальном сайте организации в глобальной компьютерной сети Интернет.