УТВЕРЖДЕНО
Приказом директора ООО «СВИАТ»
от 20.11.2023 г. № 1-2-116/23
1.1. Настоящая Политика обработки персональных данных (далее по тексту — Политика) утверждает основные процессы, принципы, цели, условия и способы обработки персональных данных в Обществе с ограниченной ответственностью «СВИАТ» (далее – Общество), обязанности и функции Общества при обработке персональных данных, права субъектов персональных данных, а также установленные Обществом требования к защите персональных данных.
1.2. Политика является общедоступным документом Общества и предусматривает возможность ознакомления с ней любых лиц. Настоящая Политика подлежит опубликованию на порталах Общества: www.sviat.by, www.svt.by.
1.3. При разработке, изменении и дополнении Обществом внутренних локальных актов, рабочих инструкций, связанных с процессами и процедурами обработки персональных данных, в обязательном порядке должны учитываться положения настоящей Политики.
1.4. Настоящая Политика регулирует определение порядка обработки персональных данных клиентов Общества, а также лиц, работающих по трудовым договорам в Обществе и выполняющих работу (оказывающих услуги) по гражданско-правовым договорам, в том числе: физических лиц, желающих вступить в трудовые или иные гражданско-правовые отношения с Обществом, физических лиц, ранее состоявших в трудовых и иных гражданско-правовых отношениях с Обществом, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности лиц, имеющих доступ к персональным данным клиентов и работников Общества, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
2.1. Основанием для разработки настоящей Политики обработки персональных данных в Обществе являются требования следующих нормативно-правовых актов:
3.1. Оператор — Общество, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3.2. Клиенты — субъекты персональных данных, физические лица (граждане Республики Беларусь или иностранные граждане), индивидуальные предприниматели и юридические лица в лице их представителей, обращающиеся к Обществу с целью приобретения и поставки автомобильных запчастей, узлов, деталей и принадлежностей к транспортным средствам и по другим хозяйственным операциям и вопросам в рамках предпринимательской деятельности Общества (пользователи сервисных сайтов и порталов).
3.3. Работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Общество, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с Обществом), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с Обществом.
3.4. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
3.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.9. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
3.10. Документы, содержащие персональные данные клиента — документы, необходимые для осуществления в установленном порядке покупки и поставки автомобильных запчастей, узлов, деталей и принадлежностей к транспортным средствам и по другим вопросам в рамках предпринимательской деятельности Общества.
3.11. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.12. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.13. Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.
3.14. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.15. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
3.16. Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
3.17. Документы, содержащие персональные данные работника — документы, которые работник предоставляет Обществу в связи с трудовыми отношениями и гражданско-правовыми отношениями с Обществом, в том числе: кандидаты (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с Обществом физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с Обществом, и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.
3.18. «Пользователь Сайта» – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.
3.19. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
3.20. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
4.1 Обработка персональных данных клиентов и работников осуществляется на основе следующих принципов:
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность и достоверность персональных данных, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.2. Персональные данные субъектов персональных данных обрабатываются Обществом в целях:
5.1. Перечень персональных данных работников, обрабатываемых Обществом установлен иными локальными нормативными актами по обработке персональных данных.
5.2. В состав персональных данных Клиентов физических лиц, являющихся индивидуальными предпринимателями, в том числе входят:
5.2.1. В состав персональных данных Клиентов физических лиц, розничных покупателей (потребителей интернет- магазинов и сервисных порталов), в том числе входят:
5.2.2. В состав персональных данных физических лиц, представителей клиентов юридических лиц, в том числе входят:
5.3. В обществе могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:
5.4. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных в Обществе не допускается и не осуществляется.
5.5. «Сookie» являются файлами, позволяющими сайту или порталу Общества сохранять информацию относительно просмотра данных сайта (портала) с компьютера клиента (т.е. количество посещений, количество просмотренных станиц и т.д.) с целью сделать посещения сайта или портала более удобными и бесперебойными.
Клиент вправе удалить файлы «cookie», хранящиеся на его компьютере, в любой момент, запретить сохранение новых файлов «cookie» либо получать уведомление перед сохранением новых файлов «cookie» путем изменения настроек браузера, либо вправе предоставить своё согласие на их сохранение.
Статистические сookie-файлы используются для измерения количества посещений, количества просмотренных страниц, активности пользователей на портале и количества возвращений пользователей на сайт. Используемый статистический инструмент генерирует сookie-файл с уникальным идентификатором, который хранится не дольше периода, указанного выше.
IP-адрес клиента также обрабатывается с целью уточнения населенного пункта/города, из которого осуществляется вход на сайт.
6.1. Общество при осуществлении обработки персональных данных:
7.1. Получение персональных данных работника преимущественно осуществляется путем представления их самим работником, при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности, за исключением случаев, прямо предусмотренных действующим законодательством Республики Беларусь. Согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь», предоставление согласия на обработку персональных данных работником для Общества, являющегося его Нанимателем не требуется.
7.2. Обработка персональных данных клиентов Общества, предоставляющих персональные данные для целей заключения договора с Обществом (приобретение автомобильных запчастей в интернет магазинах, получение услуг на сервисных порталах) осуществляется без согласия клиента на обработку его персональных данных, согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь», если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
7.3. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
7.4. Обработка персональных данных соискателей (кандидатов) на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом Республики Беларусь, предполагает получение письменного согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия Нанимателем решения о приеме либо отказе в приеме на работу и выполнение Нанимателем требований, возложенных на него в статье 5 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь». В случае сообщения Нанимателем отказа в приеме на работу обработка персональных данных соискателя подлежит автоматическому прекращению и сами данные уничтожению в связи с достижением цели обработки. Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе. При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
7.5. Право доступа к персональным данным работника и их обработки имеют:
7.6. Право доступа к персональным данным клиентов и их обработки имеют сотрудники следующих подразделений Общества:
8.1. Общество осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
8.2. Обработка персональных данных клиентов и работников Общества осуществляется смешанным путем:
8.3. Персональные данные клиентов и работников хранятся на бумажных носителях и/или в электронном виде.
8.4. Хранение текущей документации и оконченной производством документации, содержащей персональные данные клиентов и работников Общества, осуществляется во внутренних подразделениях Общества, а также в помещениях, предназначенных для хранения отработанной документации. Ответственные лица за хранение документов, содержащих персональные данные работников и клиентов, назначены Приказом руководителя Общесства.
8.5. Хранение персональных данных клиентов и работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные клиентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
8.6. Предприятие обеспечивает ограничение доступа к персональным данным клиентов и работников лицам, не уполномоченным законодательством Республики Беларусь, либо Обществом для получения соответствующих сведений.
8.7. Доступ к персональным данным клиентов и работников без специального разрешения имеют только должностные лица Обществам, допущенные к работе с персональными данными клиентов и работников Приказом руководителя. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.
9.1. Субъекты персональных данных имеют право на:
10.1. Общество при обработке персональных данных работников и клиентов обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
10.3. Обеспечение безопасности персональных данных работников достигается, в частности:
10.4. Для обеспечения безопасности персональных данных работников при неавтоматизированной обработке предпринимаются следующие меры:
10.4.1. Определяются места хранения персональных данных, которые оснащаются средствами защиты:
10.5. Все действия по неавтоматизированной обработке персональных данных работников осуществляются только должностными лицами, согласно списку должностей, утвержденному Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
10.6. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
10.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление). Персональные данные клиентов и работников, содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении персональных данных. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными. Для обеспечения безопасности персональных данных клиентов и работника при автоматизированной обработке предпринимаются следующие меры:
10.8. Персональные компьютеры, имеющие доступ к базам хранения персональных данных клиентов и работников, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных клиентов и работников на данном ПК.
10.9. Защита персональных данных клиента:
10.9.1. Защита персональных данных Клиента осуществляется за счёт Общества в порядке и способами, установленными законодательством.
Обществом при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, правовые и технические меры, в том числе:
10.9.2. Процедура оформления доступа к персональным данным Клиента включает в себя:
Защита персональных данных Клиентов, хранящихся в электронных базах данных Общества, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системным администратором.
11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
11.2. Работники Общества, допущенные к обработке персональных данных работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.
11.3. Внутренний контроль за соблюдением структурными подразделениями Общества, законодательства Республики Беларусь о персональных данных и требований настоящей Политики, осуществляется лицом, ответственным за организацию и соблюдение внутреннего контроля.
11.4. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов Общества в области персональных данных в структурном подразделении, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на руководителей данных подразделений.
11.5 Настоящая Политика вступает в силу с даты её утверждения.
11.6. При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа руководителя.
11.7. Настоящая Политика распространяется на всех клиентов и работников, а также работников Общества, имеющих доступ и осуществляющих перечень действий с персональными данными клиентов и работников. Клиенты Общества, а также их законные представители имеют право ознакомиться с настоящей Политикой. Работники Общества подлежат обязательному ознакомлению с данным Положением.
11.8. В обязанности Нанимателя входит ознакомление всех работников с настоящей Политикой и лиц, принимаемых на работу до подписания трудового договора, под личную подпись.