Политика обработки персональных данных

ПОЛИТИКА ОПЕРАТОРА                                                                           

г. Жлобин

В отношении обработки персональных данных                                                                                                                                                                                                                                                                                                              

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее по тексту — Политика) утверждает основные процессы, принципы, цели, условия и способы обработки персональных данных (далее по тексту – Предприятие), обязанности и функции Предприятия при обработке персональных данных, права субъектов персональных данных, а также установленные Предприятием требования к защите персональных данных.

1.2. Политика является общедоступным документом Предприятия и предусматривает возможность ознакомления с ней любых лиц. Настоящая Политика подлежит опубликованию на порталах Предприятия: akl.by

1.3. При разработке, изменении и дополнении Предприятием внутренних локальных актов, рабочих инструкций, связанных с процессами и процедурами обработки персональных данных, в обязательном порядке должны учитываться положения настоящей Политики.

1.4. Настоящая Политика регулирует определение порядка обработки персональных данных клиентов Предприятия, а также лиц, работающих по трудовым договорам на Предприятии и выполняющих работу (оказывающих услуги) по гражданско-правовым договорам, в том числе: физических лиц, желающих вступить в трудовые или иные гражданско-правовые отношения с Предприятием, физических лиц,  ранее состоявших в трудовых и иных гражданско-правовых отношениях с Предприятием, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности лиц, имеющих доступ к персональным данным клиентов и работников Предприятия, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

ГЛАВА 2

ОСНОВАНИЯ ДЛЯ РАЗРАБОТКИ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основанием для разработки настоящей Политики обработки персональных данных в Предприятии являются требования следующих законодательных и нормативно-правовых актов:

Конституция Республики Беларусь;

Трудовой кодекс Республики Беларусь;

Закон Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных»;

Закон Республики Беларусь от 21.07.2008 N 418-З «О регистре населения»;

Закон Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации»;

 Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

иные нормативные правовые акты Республики Беларусь.

ГЛАВА 3

ОСНОВНЫЕ  ПОНЯТИЯ, ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ

3.1. Оператор — Предприятие, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3.2. Клиенты — субъекты персональных данных, физические лица (граждане Республики Беларусь или Российской Федерации), индивидуальные предприниматели и юридические лица в лице их представителей, обращающиеся к Предприятию с целью приобретения и поставки автомобильных запчастей, узлов, деталей и принадлежностей к транспортным средствам и по другим хозяйственным операциям и вопросам в рамках предпринимательской деятельности Предприятия (пользователи сервисных сайтов и порталов).

3.3. Работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Предприятием, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с Предприятием), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с Предприятием-оператором.

3.4. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).

3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.

3.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

3.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

3.9. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

3.10. Документы, содержащие персональные данные клиента — документы, необходимые для осуществления в установленном порядке покупки и поставки автомобильных запчастей, узлов, деталей и принадлежностей к транспортным средствам и по другим вопросам в рамках деятельности Предприятия-оператора.

3.11. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

3.12. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

3.13. Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.

3.14. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

3.15. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

3.16. Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

3.17. Документы, содержащие персональные данные работника — документы, которые работник предоставляет Предприятию в связи с трудовыми отношениями и гражданско-правовыми отношениями с Предприятием, в том числе: кандидаты (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с Предприятием физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с Предприятием, и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.

3.18. «Пользователь Сайта» – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.

3.19. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

3.20. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

ГЛАВА 4

ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Обработка персональных данных клиентов и работников осуществляется на основе следующих принципов:

— Обработке подлежат только персональные данные, которые отвечают целям их обработки.

— Обработка персональных данных должна осуществляться исключительно на законной и справедливой основе.

— Обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

— Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность и достоверность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

4.2. Персональные данные субъектов персональных данных обрабатываются Предприятием в целях:

 — Исполнения и соблюдения требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь и Российской Федерации, локальных правовых актов Предприятия;

— Осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Предприятие, в том числе по предоставлению персональных данных в органы государственной власти, налоговые органы, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;

— Регулирования трудовых отношений с работниками Предприятия (содействие в трудоустройстве, обучения и повышения квалификации, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

— Осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с клиентами и контрагентами; в том числе при осуществлении розничной торговли, предоставления услуг по доступу к ресурсам интернет сайтов (порталов).

— Защиты жизни, здоровья, прав и законных интересов субъектов персональных данных;

Обеспечения пропускного и внутриобъектового режимов на объектах, принадлежащих Предприятию;

— Формирования защищенных от несанкционированного доступа справочных и учетных материалов, баз данных для внутреннего информационного обеспечения деятельности Предприятия;

— Исполнения судебных постановлений, решений, предписаний, требований уполномоченных государственных органов и их должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве и контрольной (надзорной) деятельности;

— Реализации, защиты, восстановления нарушенных прав и законных интересов Предприятия при осуществлении им хозяйственных операций в их отношениях с субъектами персональных данных;

— Для осуществления сайтом (порталом) сбора статистики об IP—адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем, для контроля законности осуществляемых операций и для защиты баз данных порталов;

— В иных целях, не противоречащих требованиям законодательства о персональных данных.

ГЛАВА 5

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ПРЕДПРИЯТИЕМ

5.1. Перечень персональных данных работников, обрабатываемых Предприятием установлен иными локальными нормативными актами по обработке персональных данных.

         5.2. В состав персональных данных Клиентов физических лиц, являющихся индивидуальными предпринимателями, в том числе входят:

• Фамилия, имя, отчество.
• Год рождения.
• Месяц рождения.
• Дата рождения.
• Место рождения.
• Паспортные данные
• Адрес места жительства
• Адрес электронной почты.
• Номер телефона (городской, мобильный).
• сведения из иных документов Клиента и/или о Клиенте, предоставляемые Клиентом в связи с заключением и исполнением договора поставки автомобильных запчастей, узлов, деталей и иных принадлежностей к транспортным средствам.

5.2.1. В состав персональных данных Клиентов физических лиц, розничных покупателей ( потребителей интернет- магазинов и сервисных порталов), в том числе входят:

• Фамилия, имя, отчество.
• Адрес места жительства или адрес доставки;

            Адрес электронной почты;

      Номер телефона (городской, мобильный);

      IP - адрес;

      история заказанных и оплаченных товаров (услуг), предпочтение, выбор и   сравнение товаров (услуг);

5.2.2. В состав персональных данных физических лиц, представителей клиентов юридических лиц, в том числе входят:

• Фамилия, имя, отчество.
• Год рождения.
• Месяц рождения.
• Дата рождения.
• Место рождения.
• Паспортные данные
• Адрес места жительства
• Адрес электронной почты.
• Номер телефона (городской, мобильный).

5.3. На Предприятии могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

• Договор поставки.
• Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом (анкета) и содержащих его персональные данные.
• Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.
• Цель обработки персональных данных клиента.
• Цель обработки персональных данных — осуществление комплекса действий, направленных на достижение цели, в том числе:
• Совершение хозяйственных операций между Предприятием и клиентом по приобретению клиентом товаров, реализуемых Предприятием.
• Розничная торговля товарами через торговые объекты Предприятия и в иных её формах, в том числе доставка заказанных клиентом товаров, оказание клиенту услуг по предоставлению доступа к ресурсам сайта (портала).
• Оказание клиенту консультационных и информационных услуг.
• Маркетинговые исследования и рассылка рекламно-информационных материалов, посредством смс-сообщений, электронной почты, мессенджеров, приглашения на презентации, приглашение к участию в рекламных акциях и рекламных играх.
• Сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных сделок.
• В целях исполнения требований законодательства Республики Беларусь и Российской Федерации.

5.4. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных на Предприятии не допускается и не осуществляется.

5.5. «Сookie» являются файлами, позволяющими сайту или порталу Предприятия сохранять информацию относительно просмотра данных сайта (портала) с компьютера клиента (т.е. количество посещений, количество просмотренных станиц и т.д.) с целью сделать посещения сайта или портала более удобными и бесперебойными.

Клиент вправе удалить файлы «cookie», хранящиеся на его компьютере, в любой момент, запретить сохранение новых файлов «cookie» либо получать уведомление перед сохранением новых файлов «cookie» путем изменения настроек браузера, либо вправе предоставить своё согласие на их сохранение.

Статистические сookie-файлы используются для измерения количества посещений, количества просмотренных страниц, активности пользователей на портале и количества возвращений пользователей на сайт. Используемый статистический инструмент генерирует сookie-файл с уникальным идентификатором, который хранится не дольше периода, указанного выше. IP-адрес клиента также обрабатывается с целью уточнения населенного пункта/города, из которого осуществляется вход на сайт.

ГЛАВА 6

ДЕЙСТВИЯ ПРЕДПРИЯТИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Предприятие при осуществлении обработки персональных данных:

— принимает меры, необходимые для выполнения требований законодательства Республики Беларусь и локальных правовых актов Предприятия в области персональных данных;

— принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— назначает сотрудников, ответственных за осуществление внутреннего контроля процедур обработки персональных данных, ответственных за хранение полученных персональных данных от клиентов;

— принимает и внедряет локальные нормативные акты, определяющие политику, регламенты обработки и защиты персональных данных на Предприятии; разрабатывает дополнения в должностные инструкции ответственных лиц.

— осуществляет ознакомление работников Предприятия, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Республики Беларусь и локальных правовых актов Предприятия в области персональных данных, в том числе требованиями к защите персональных данных, обучение и проверку знаний указанных работников;

— сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;

— прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь (Российской Федерации) в области персональных данных.

ГЛАВА 7

ПОЛУЧЕНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ

7.1. Получение персональных данных работника преимущественно осуществляется путем представления их самим работником, при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности, за исключением случаев, прямо предусмотренных действующим законодательством Республики Беларусь. Согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь», предоставление согласия на обработку персональных данных работником для предприятия-оператора, являющегося его Нанимателем не требуется.

7.2. Обработка персональных данных клиентов Предприятия, предоставляющих персональные данные для целей заключения договора с Предприятием (приобретение автомобильных запчастей в интернет магазинах, получение услуг на сервисных порталах) осуществляется без согласия клиента на обработку его персональных данных, согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь», если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.

7.3. Предприятие без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.

7.4. Обработка персональных данных соискателей (кандидатов) на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом Республики Беларусь, предполагает получение письменного согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия Нанимателем решения о приеме либо отказе в приеме на работу и выполнение Нанимателем требований, возложенных на него в статье 5 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь». В случае сообщения Нанимателем отказа в приеме на работу обработка персональных данных соискателя подлежит автоматическому прекращению и сами данные уничтожению в связи с достижением цели обработки.

Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.