Прием звонков: 9:00 - 21:00 ПН-ВС
Прием звонков: 9:00 - 21:00 ПН-ВС
+375 (29) 832−60−14
Прием звонков:
9:00 — 21:00 ПН-ВС
Адрес:
г. Мозырь, ул. Притыцкого, 8
Электронная почта:
osnovaniye.by@yandex.by
Занятия для взрослых
основание 20+ →
Прием звонков:
9:00 — 21:00 ПН-ВС
Адрес:
г. Мозырь, ул. Притыцкого, 8
Электронная почта:
osnovaniye.by@yandex.by
Занятия для взрослых
основание 20+ →
Задать вопрос по занятиям
Заполните поля ниже, мы свяжемся
с Вами в течение 15 минут
Специалист по телефону
с Вами в течение 15 минут
Специалист по телефону
- ответит на Ваши вопросы
- поможет подобрать подходящую группу для ребенка
- поможет выбрать подходящее время для занятий
- предложит дату пробного занятия и запишет на него
Записаться на пробное занятие
Заполните поля ниже, мы свяжемся
с Вами в ближайшее время.
Специалист по телефону
с Вами в ближайшее время.
Специалист по телефону
- ответит на Ваши вопросы
- поможет подобрать подходящую группу для ребенка
- поможет выбрать подходящее время для занятий
- предложит дату пробного занятия и запишет на него
Заказать бесплатную консультацию
Заполните поля ниже, мы свяжемся
с Вами в ближайшее время.
Специалист по телефону
с Вами в ближайшее время.
Специалист по телефону
- ответит на Ваши вопросы
- поможет подобрать подходящую группу для ребенка
- поможет выбрать подходящее время для занятий
- предложит дату пробного занятия и запишет на него
ПОЛИТИКА ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных индивидуального предпринимателя Шаповала Андрея Сергеевича (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции Индивидуального предпринимателя Шаповала Андрея Сергеевича при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции, законодательных и иных НПА Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки ЛПА, регламентирующих у Индивидуального предпринимателя Шаповала Андрея Сергеевича вопросы обработки персональных данных работников и других субъектов персональных данных.
1.4. Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
1.5. Актуальная редакция Политики размещена в свободном доступе в глобальной компьютерной сети Интернет по адресу: osnovaniye.by/.
1.6. Политика вступает в силу с момента ее утверждения, действует в отношении всех персональных данных, обрабатываемых организацией, распространяется на все действия, совершаемые организации с персональными данными, на отношения в области обработки персональных данных, возникшие в организации как до, так и после утверждения Политики.
2. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НПА РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Политика обработки персональных данных у индивидуального предпринимателя Шаповала Андрея Сергеевича определяется в соответствии со следующими НПА:
— Конституция;
— Трудовой кодекс;
— Закон от 07.05.2021 № 99-З «О защите персональных данных»;
— Закон от 21.07.2008 № 418-З «О регистре населения»;
— Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
— иные НПА Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
3. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор — организация, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3.2. Клиенты — субъекты персональных данных, физические лица, индивидуальные предприниматели и юридические лица в лице их представителей, обращающиеся к организации с целью получения услуг и по другим хозяйственным операциям и вопросам в рамках предпринимательской деятельности организации (пользователи сервисных сайтов и порталов).
3.3. Работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с организацией, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с организацией), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с организацией-оператором.
3.4. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
3.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.9. Персональные данные — любая информация, относящаяся к идентифицированному физлицу или физлицу, которое может быть идентифицировано.
3.10. Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
3.11. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.12. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.13. Субъект персональных данных — физлицо, в отношении которого осуществляется обработка персональных данных.
3.14. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
3.15. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.16. Физлицо, которое может быть идентифицировано, — физлицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
3.17. Информация — сведения (сообщения, данные) независимо от формы их представления.
3.18. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
3.19. Пользователь Сайта — лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.
4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Индивидуальный предприниматель Шаповал Андрей Сергеевич, являясь оператором персональных данных, осуществляет обработку персональных данных своих работников, кандидатов на занятие вакантных должностей, контрагентов, являющихся физическими лицами, представителей и/или работников контрагентов, являющихся юридическими лицами или индивидуальными предпринимателями, посетителей сайта osnovaniye.by/, лиц, предоставивших индивидуальному предпринимателю Шаповалу Андрею Сергеевичу персональные данные путем оформления обращений, запросов сведений, при отправке отзывов, заполнении заявок и других субъектов персональных данных для обеспечения реализации целей обработки персональных данных, предусмотренных настоящей политикой.
4.2. Обработка персональных данных у индивидуального предпринимателя Шаповала Андрея Сергеевича осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
— обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
— обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
— обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
— оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
— хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
4.3. Персональные данные обрабатываются в целях:
— обеспечения соблюдения Конституции, законодательных и иных НПА Республики Беларусь;
— осуществления финансово-хозяйственной деятельности, в том числе оказание услуг субъекту персональных данных.
— регистрации и обслуживания субъекта персональных данных на сайте оператора;
— сохранения в CRM-системе оператора и на локальном сервере;
— осуществления коммуникаций с субъектами персональных данных, в том числе рассмотрение обращений и запросов;
— проведения оператором рекламных акций, конкурсов, иных мероприятий с участием субъектов персональных данных для продвижения услуг;
— получения от оператора рекламных материалов, информации и запросов, уведомлений, касающихся использования сайта, оказания услуг, посредством телефонной связи, SMS-сообщений, push-уведомлений, электронной почты, сообщений, направляемых посредством мессенджера Viber, Telegram и тому подобных.
— предоставления клиенту эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта.
— осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на индивидуального предпринимателя Шаповала Андрея Сергеевича, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы, исполнение обязанности налогового агента;
— регулирования трудовых отношений с работниками индивидуального предпринимателя Шаповала Андрея Сергеевича (содействие в трудоустройстве, обучение и продвижение, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового, бухгалтерского, налогового и воинского учетов, рассмотрение возможности трудоустройства кандидатов, ведения кадрового резерва, проверка кандидатов (в том числе их квалификации и опыта работы);
— защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
— осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с контрагентами (осуществления гражданско-правовых отношений);
— использование в процессе сотрудничества с организациями и индивидуальными предпринимателями;
— обеспечения пропускного и внутриобъектового режимов на объектах индивидуального предпринимателя Шаповала Андрея Сергеевича;
— формирования справочных материалов для внутреннего информационного обеспечения деятельности индивидуального предпринимателя Шаповала Андрея Сергеевича;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
— проведение статистических и/или оценочных исследований по эффективности работы индивидуального предпринимателя Шаповала Андрея Сергеевича.
4.4. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
4.5. Информация для принятия решения о выдаче согласия на обработку персональных данных:
— наименование и место нахождения оператора: Гомельская обл., г. Мозырь, ул. Гагарина, д.55а, кв. 33
4.6. У индивидуального предпринимателя Шаповала Андрея Сергеевича обрабатываются общедоступные персональные данные (фамилия, имя, отчество, номер телефона, адрес электронной почты, идентификационный номер, данные о месте регистрации, иные общедоступные персональные данные, необходимые для оказания услуг), в соответствии с законодательством Республики Беларусь с учетом целей обработки персональных данных, указанных в настоящей Политике. Фамилия, имя, отчество и идентификационный номер обрабатываются для идентификации клиента, контактный номер телефона и адрес электронной почты для коммуникаций с субъектами персональных данных, данные о месте регистрации для ведения бухгалтерского учета и взыскания задолженности за оказанные услуги, в случае необходимости.
4.7. Срок, на который дается согласие: 10 лет.
4.8. Для достижения целей обработки общедоступные персональные данные могут передаваться иностранным юридическим лицам в установленном порядке. Предоставляя свое согласие, субъект персональных данных осознает риски, связанные с трансграничной передачей персональных данных (возможность утечки, взлома серверов оператора).
4.9. Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку персональных данных в целях, указанных в настоящей Политике, за исключением случаев, предусмотренных ст. 6 Закона № 99-З и иными законодательными актами, когда такое согласие не требуется.
4.10. Отказ в предоставлении согласия на обработку персональных данных влечет невозможность для индивидуального предпринимателя Шаповала Андрея Сергеевича обрабатывать персональные данные, что может повлечь прекращение договорных отношений.
4.11. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.12. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также генетических персональных данных, у индивидуального предпринимателя Шаповала Андрея Сергеевича не осуществляется.
4.13. С целью обеспечения безопасности нахождения на объектах индивидуального предпринимателя Шаповала Андрея Сергеевича и сохранности имущества, помещения оборудованы камерами видеонаблюдения
5. ФУНКЦИИ ОПЕРАТОРА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор при осуществлении обработки персональных данных:
5.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных.
5.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.3. Назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
5.4. Издает ЛПА, определяющие политику и вопросы обработки и защиты персональных данных.
5.5. Осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь, в том числе Законом Республики Беларусь «О защите персональных данных»
5.6. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
5.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь.
5.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных.
5.9. Совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
6. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
6.1. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
6.2. Обработка персональных данных у Оператора осуществляется смешанным путем:
— неавтоматизированным способом обработки персональных данных;
— автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
6.3. Все действия по неавтоматизированной обработке персональных данных осуществляются только должностными лицами, допущенными к работе с персональными данными, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе, путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством, в том числе Законом Республики Беларусь «О персональных данных» и настоящей Политикой.
6.4. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
6.5. Администратор или специалист по работе с клиентами при обработке запросов с сайта обрабатывает и вносит предоставленные клиентом общедоступные персональные данные в базу клиентов.
6.6. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
6.7. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
6.8. Оператор вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
— цели обработки персональных данных;
— перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
— обязанности по соблюдению конфиденциальности персональных данных;
— меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона от 07.05.2021 № 99-З «О защите персональных данных».
6.9. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению индивидуального предпринимателя Шаповала Андрея Сергеевича необходимо получение согласия субъекта персональных данных, такое согласие получает индивидуальный предприниматель Шаповал Андрей Сергеевич.
6.10. Оператор обеспечивает ограничение доступа к персональным данным клиентов и работников лицам, не уполномоченным законодательством Республики Беларусь, либо организацией для получения соответствующих сведений.
6.11. Доступ к персональным данным клиентов и работников без специального разрешения имеют только должностные лица организации, допущенные к работе с персональными данными клиентов и работников приказом руководителя. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.
6.12. Доступ к персональным данным предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. К таким лицам относятся
— руководитель Организации и его заместители при выполнении своих должностных обязанностей;
— лица, осуществляющие ведение бухгалтерского учета в организации, в пределах исполнения обязанностей по заключенным договорам;
— лица, осуществляющие правовую и кадровую работу в организации, в пределах исполнения обязанностей по заключенным договорам;
— сотрудники, занимающие должности, непосредственно связанные с работой с персональными данными клиента (администратор, специалист по работе с клиентами, тренер, экономист), в пределах исполнения своих должностных обязанностей;
6.13. Право доступа к личным делам работника имеет только руководитель организации и лицо, осуществляющее кадровую работу в организации.
6.14. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора общества или иного лица, уполномоченного на это директором общества. Соответствующие работники должны быть ознакомлены под роспись с настоящей Политикой, со всеми ЛПА организации в области персональных данных, с законом Республики Беларусь «О защите персональных данных», а также должны подписать обязательство о неразглашении персональных данных.
6.15. Работникам организации, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
6.16. Персональные данные клиентов и работников хранятся на бумажных носителях и в электронном виде.
6.17. Хранение персональных данных клиентов и работников осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого является субъект персональных данных, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.18. Хранение документов, содержащих персональные данные клиентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов либо в течении срока, указанного в этих документах. По истечении установленных сроков хранения документы подлежат уничтожению.
6.19. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах (запираемые на ключ шкафы) с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется организацией.
6.20. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых организацией информационных систем и специально обозначенных организацией баз данных (внесистемное хранение персональных данных) не допускается.
6.21. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание). При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.22. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
6.23. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.24. Передача информации, содержащей персональные данные, осуществляется способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
6.25. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
6.25.1. дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
6.25.2. персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
6.25.3. персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
6.25.4. такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
6.25.5. обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
6.25.6. такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
6.25.7. получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
6.26. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
6.27. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в организации, для предварительного рассмотрения и согласования.
6.28. Лица, получающие персональные данные, предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Организация вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъекты персональных данных имеют право на:
— разъяснение оператором предоставленных законом прав и обязанностей;
— отзыв согласия субъекта персональных данных;
— получение информации, касающейся обработки персональных данных, и изменение персональных данных;
— требование прекращения обработки персональных данных и (или) их удаления;
— обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
— получение полной информации о хранящихся у оператора его персональных данных;
— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством;
— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия;
— требование об извещении Нанимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжалование в суд любых неправомерных действий или бездействия оператора, Нанимателя при обработке и защите его персональных данных.
7.2. Для реализации своих прав субъект персональных данных должен подать индивидуальному предпринимателю Шаповалу Андрею Сергеевичу заявление в соответствии с требованиями, указанными в ст. 14 Закона Республики Беларусь «О защите персональных данных». Заявление может быть подано любым способом, который позволяет идентифицировать, что заявления исходит от конкретного человека. Заявление должно содержать личную подпись заявителя и может быть направлено на почтовый адрес оператора Гомельская обл., г. Мозырь, ул. Гагарина, д.55а, кв. 33 либо по e-mail info@osnovaniye.by.
7.3. Субъект персональных данных обязан:
— предоставлять оператору достоверные данные о себе;
— сообщать оператору об уточнении (обновлении, изменении) своих персональных данных.
7.4. Лица, передавшие оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
8. ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
8.1. Индивидуальный предприниматель Шаповал Андрей Сергеевич вправе:
8.1.1. устанавливать правила обработки персональных данных в организации, вносить изменения и дополнения в Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора;
8.1.2. осуществлять иные права, предусмотренные законодательством Республики Беларусь и ЛПА организации в области обработки и защиты персональных данных.
8.2. Индивидуальный предприниматель Шаповал Андрей Сергеевич обязан:
8.2.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
8.2.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.3. обеспечивать защиту персональных данных в процессе их обработки;
8.2.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
8.2.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
8.2.8. осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
8.2.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
8.2.10. выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.
9. МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
9.1.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
9.1.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
9.1.3. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
9.1.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
9.1.5. издание документов, определяющих политику в отношении обработки персональных данных;
9.1.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных, с Законом Республики Беларусь «О защите персональных данных» и настоящей Политикой;
9.1.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
9.1.8. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику в отношении обработки персональных данных, до начала такой обработки;
9.1.9. прекращение обработки персональных данных при отсутствии оснований для их обработки;
9.1.10. незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
9.1.11. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
9.1.12. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
9.1.13. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
9.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с требованиями законодательства Республики Беларусь.
10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ
10.1. Защита персональных данных клиента осуществляется в порядке и способами, установленными законодательством. Организация при обработке персональных данных работников и клиентов принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
10.10. Защита персональных данных клиентов, хранящихся в электронных базах данных организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системным администратором.
10.11. Для защиты персональных данных индивидуальный предприниматель Шаповал Андрей Сергеевич принимает следующие необходимые меры (включая, но не ограничиваясь):
10.11.1. ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
10.11.2. обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
10.11.3. организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
10.11.4. контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
10.11.5. проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
10.11.6. внедряет программные и технические средства защиты информации в электронном виде;
10.11.7. обеспечивает возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.12. Для защиты персональных данных при их обработке в информационных системах организация проводит следующие мероприятия (включая, но не ограничиваясь):
10.12.1. определение угроз безопасности персональных данных при их обработке;
10.12.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
10.12.3. учет машинных носителей персональных данных;
10.12.4. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
10.12.5. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.12.6. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
10.13. В организации назначены лица, ответственные за организацию обработки персональных данных. Все сотрудники и уполномоченные лица, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны соблюдать требования локальных актов организации о неразглашении персональных данных клиентов и требования законодательства Республики Беларусь, в том числе Закона Республики Беларусь «О защите персональных данных».
10.14. В организации могут приниматься иные меры, направленные на обеспечение выполнения организацией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
11.2. Работники организации, допущенные к обработке персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.
11.3. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных с обязательным последующим размещением новой политики на сайте оператора.
11.4. Отсутствие контроля со стороны Организации за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.
11.5. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
1.1. Политика обработки персональных данных индивидуального предпринимателя Шаповала Андрея Сергеевича (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции Индивидуального предпринимателя Шаповала Андрея Сергеевича при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции, законодательных и иных НПА Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки ЛПА, регламентирующих у Индивидуального предпринимателя Шаповала Андрея Сергеевича вопросы обработки персональных данных работников и других субъектов персональных данных.
1.4. Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
1.5. Актуальная редакция Политики размещена в свободном доступе в глобальной компьютерной сети Интернет по адресу: osnovaniye.by/.
1.6. Политика вступает в силу с момента ее утверждения, действует в отношении всех персональных данных, обрабатываемых организацией, распространяется на все действия, совершаемые организации с персональными данными, на отношения в области обработки персональных данных, возникшие в организации как до, так и после утверждения Политики.
2. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НПА РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Политика обработки персональных данных у индивидуального предпринимателя Шаповала Андрея Сергеевича определяется в соответствии со следующими НПА:
— Конституция;
— Трудовой кодекс;
— Закон от 07.05.2021 № 99-З «О защите персональных данных»;
— Закон от 21.07.2008 № 418-З «О регистре населения»;
— Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
— иные НПА Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
3. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор — организация, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3.2. Клиенты — субъекты персональных данных, физические лица, индивидуальные предприниматели и юридические лица в лице их представителей, обращающиеся к организации с целью получения услуг и по другим хозяйственным операциям и вопросам в рамках предпринимательской деятельности организации (пользователи сервисных сайтов и порталов).
3.3. Работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с организацией, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с организацией), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с организацией-оператором.
3.4. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
3.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.9. Персональные данные — любая информация, относящаяся к идентифицированному физлицу или физлицу, которое может быть идентифицировано.
3.10. Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
3.11. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.12. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.13. Субъект персональных данных — физлицо, в отношении которого осуществляется обработка персональных данных.
3.14. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
3.15. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.16. Физлицо, которое может быть идентифицировано, — физлицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
3.17. Информация — сведения (сообщения, данные) независимо от формы их представления.
3.18. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
3.19. Пользователь Сайта — лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.
4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Индивидуальный предприниматель Шаповал Андрей Сергеевич, являясь оператором персональных данных, осуществляет обработку персональных данных своих работников, кандидатов на занятие вакантных должностей, контрагентов, являющихся физическими лицами, представителей и/или работников контрагентов, являющихся юридическими лицами или индивидуальными предпринимателями, посетителей сайта osnovaniye.by/, лиц, предоставивших индивидуальному предпринимателю Шаповалу Андрею Сергеевичу персональные данные путем оформления обращений, запросов сведений, при отправке отзывов, заполнении заявок и других субъектов персональных данных для обеспечения реализации целей обработки персональных данных, предусмотренных настоящей политикой.
4.2. Обработка персональных данных у индивидуального предпринимателя Шаповала Андрея Сергеевича осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
— обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
— обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
— обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
— оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
— хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
4.3. Персональные данные обрабатываются в целях:
— обеспечения соблюдения Конституции, законодательных и иных НПА Республики Беларусь;
— осуществления финансово-хозяйственной деятельности, в том числе оказание услуг субъекту персональных данных.
— регистрации и обслуживания субъекта персональных данных на сайте оператора;
— сохранения в CRM-системе оператора и на локальном сервере;
— осуществления коммуникаций с субъектами персональных данных, в том числе рассмотрение обращений и запросов;
— проведения оператором рекламных акций, конкурсов, иных мероприятий с участием субъектов персональных данных для продвижения услуг;
— получения от оператора рекламных материалов, информации и запросов, уведомлений, касающихся использования сайта, оказания услуг, посредством телефонной связи, SMS-сообщений, push-уведомлений, электронной почты, сообщений, направляемых посредством мессенджера Viber, Telegram и тому подобных.
— предоставления клиенту эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта.
— осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на индивидуального предпринимателя Шаповала Андрея Сергеевича, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы, исполнение обязанности налогового агента;
— регулирования трудовых отношений с работниками индивидуального предпринимателя Шаповала Андрея Сергеевича (содействие в трудоустройстве, обучение и продвижение, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового, бухгалтерского, налогового и воинского учетов, рассмотрение возможности трудоустройства кандидатов, ведения кадрового резерва, проверка кандидатов (в том числе их квалификации и опыта работы);
— защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
— осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с контрагентами (осуществления гражданско-правовых отношений);
— использование в процессе сотрудничества с организациями и индивидуальными предпринимателями;
— обеспечения пропускного и внутриобъектового режимов на объектах индивидуального предпринимателя Шаповала Андрея Сергеевича;
— формирования справочных материалов для внутреннего информационного обеспечения деятельности индивидуального предпринимателя Шаповала Андрея Сергеевича;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
— проведение статистических и/или оценочных исследований по эффективности работы индивидуального предпринимателя Шаповала Андрея Сергеевича.
4.4. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
4.5. Информация для принятия решения о выдаче согласия на обработку персональных данных:
— наименование и место нахождения оператора: Гомельская обл., г. Мозырь, ул. Гагарина, д.55а, кв. 33
4.6. У индивидуального предпринимателя Шаповала Андрея Сергеевича обрабатываются общедоступные персональные данные (фамилия, имя, отчество, номер телефона, адрес электронной почты, идентификационный номер, данные о месте регистрации, иные общедоступные персональные данные, необходимые для оказания услуг), в соответствии с законодательством Республики Беларусь с учетом целей обработки персональных данных, указанных в настоящей Политике. Фамилия, имя, отчество и идентификационный номер обрабатываются для идентификации клиента, контактный номер телефона и адрес электронной почты для коммуникаций с субъектами персональных данных, данные о месте регистрации для ведения бухгалтерского учета и взыскания задолженности за оказанные услуги, в случае необходимости.
4.7. Срок, на который дается согласие: 10 лет.
4.8. Для достижения целей обработки общедоступные персональные данные могут передаваться иностранным юридическим лицам в установленном порядке. Предоставляя свое согласие, субъект персональных данных осознает риски, связанные с трансграничной передачей персональных данных (возможность утечки, взлома серверов оператора).
4.9. Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку персональных данных в целях, указанных в настоящей Политике, за исключением случаев, предусмотренных ст. 6 Закона № 99-З и иными законодательными актами, когда такое согласие не требуется.
4.10. Отказ в предоставлении согласия на обработку персональных данных влечет невозможность для индивидуального предпринимателя Шаповала Андрея Сергеевича обрабатывать персональные данные, что может повлечь прекращение договорных отношений.
4.11. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.12. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также генетических персональных данных, у индивидуального предпринимателя Шаповала Андрея Сергеевича не осуществляется.
4.13. С целью обеспечения безопасности нахождения на объектах индивидуального предпринимателя Шаповала Андрея Сергеевича и сохранности имущества, помещения оборудованы камерами видеонаблюдения
5. ФУНКЦИИ ОПЕРАТОРА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор при осуществлении обработки персональных данных:
5.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных.
5.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.3. Назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
5.4. Издает ЛПА, определяющие политику и вопросы обработки и защиты персональных данных.
5.5. Осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь, в том числе Законом Республики Беларусь «О защите персональных данных»
5.6. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
5.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь.
5.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных.
5.9. Совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
6. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
6.1. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
6.2. Обработка персональных данных у Оператора осуществляется смешанным путем:
— неавтоматизированным способом обработки персональных данных;
— автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
6.3. Все действия по неавтоматизированной обработке персональных данных осуществляются только должностными лицами, допущенными к работе с персональными данными, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе, путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством, в том числе Законом Республики Беларусь «О персональных данных» и настоящей Политикой.
6.4. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
6.5. Администратор или специалист по работе с клиентами при обработке запросов с сайта обрабатывает и вносит предоставленные клиентом общедоступные персональные данные в базу клиентов.
6.6. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
6.7. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
6.8. Оператор вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
— цели обработки персональных данных;
— перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
— обязанности по соблюдению конфиденциальности персональных данных;
— меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона от 07.05.2021 № 99-З «О защите персональных данных».
6.9. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению индивидуального предпринимателя Шаповала Андрея Сергеевича необходимо получение согласия субъекта персональных данных, такое согласие получает индивидуальный предприниматель Шаповал Андрей Сергеевич.
6.10. Оператор обеспечивает ограничение доступа к персональным данным клиентов и работников лицам, не уполномоченным законодательством Республики Беларусь, либо организацией для получения соответствующих сведений.
6.11. Доступ к персональным данным клиентов и работников без специального разрешения имеют только должностные лица организации, допущенные к работе с персональными данными клиентов и работников приказом руководителя. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.
6.12. Доступ к персональным данным предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. К таким лицам относятся
— руководитель Организации и его заместители при выполнении своих должностных обязанностей;
— лица, осуществляющие ведение бухгалтерского учета в организации, в пределах исполнения обязанностей по заключенным договорам;
— лица, осуществляющие правовую и кадровую работу в организации, в пределах исполнения обязанностей по заключенным договорам;
— сотрудники, занимающие должности, непосредственно связанные с работой с персональными данными клиента (администратор, специалист по работе с клиентами, тренер, экономист), в пределах исполнения своих должностных обязанностей;
6.13. Право доступа к личным делам работника имеет только руководитель организации и лицо, осуществляющее кадровую работу в организации.
6.14. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора общества или иного лица, уполномоченного на это директором общества. Соответствующие работники должны быть ознакомлены под роспись с настоящей Политикой, со всеми ЛПА организации в области персональных данных, с законом Республики Беларусь «О защите персональных данных», а также должны подписать обязательство о неразглашении персональных данных.
6.15. Работникам организации, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
6.16. Персональные данные клиентов и работников хранятся на бумажных носителях и в электронном виде.
6.17. Хранение персональных данных клиентов и работников осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого является субъект персональных данных, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.18. Хранение документов, содержащих персональные данные клиентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов либо в течении срока, указанного в этих документах. По истечении установленных сроков хранения документы подлежат уничтожению.
6.19. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах (запираемые на ключ шкафы) с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется организацией.
6.20. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых организацией информационных систем и специально обозначенных организацией баз данных (внесистемное хранение персональных данных) не допускается.
6.21. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание). При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.22. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
6.23. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.24. Передача информации, содержащей персональные данные, осуществляется способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
6.25. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
6.25.1. дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
6.25.2. персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
6.25.3. персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
6.25.4. такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
6.25.5. обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
6.25.6. такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
6.25.7. получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
6.26. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
6.27. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в организации, для предварительного рассмотрения и согласования.
6.28. Лица, получающие персональные данные, предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Организация вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъекты персональных данных имеют право на:
— разъяснение оператором предоставленных законом прав и обязанностей;
— отзыв согласия субъекта персональных данных;
— получение информации, касающейся обработки персональных данных, и изменение персональных данных;
— требование прекращения обработки персональных данных и (или) их удаления;
— обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
— получение полной информации о хранящихся у оператора его персональных данных;
— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством;
— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия;
— требование об извещении Нанимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжалование в суд любых неправомерных действий или бездействия оператора, Нанимателя при обработке и защите его персональных данных.
7.2. Для реализации своих прав субъект персональных данных должен подать индивидуальному предпринимателю Шаповалу Андрею Сергеевичу заявление в соответствии с требованиями, указанными в ст. 14 Закона Республики Беларусь «О защите персональных данных». Заявление может быть подано любым способом, который позволяет идентифицировать, что заявления исходит от конкретного человека. Заявление должно содержать личную подпись заявителя и может быть направлено на почтовый адрес оператора Гомельская обл., г. Мозырь, ул. Гагарина, д.55а, кв. 33 либо по e-mail info@osnovaniye.by.
7.3. Субъект персональных данных обязан:
— предоставлять оператору достоверные данные о себе;
— сообщать оператору об уточнении (обновлении, изменении) своих персональных данных.
7.4. Лица, передавшие оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
8. ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
8.1. Индивидуальный предприниматель Шаповал Андрей Сергеевич вправе:
8.1.1. устанавливать правила обработки персональных данных в организации, вносить изменения и дополнения в Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора;
8.1.2. осуществлять иные права, предусмотренные законодательством Республики Беларусь и ЛПА организации в области обработки и защиты персональных данных.
8.2. Индивидуальный предприниматель Шаповал Андрей Сергеевич обязан:
8.2.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
8.2.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.3. обеспечивать защиту персональных данных в процессе их обработки;
8.2.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
8.2.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
8.2.8. осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
8.2.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
8.2.10. выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.
9. МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
9.1.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
9.1.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
9.1.3. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
9.1.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
9.1.5. издание документов, определяющих политику в отношении обработки персональных данных;
9.1.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных, с Законом Республики Беларусь «О защите персональных данных» и настоящей Политикой;
9.1.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
9.1.8. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику в отношении обработки персональных данных, до начала такой обработки;
9.1.9. прекращение обработки персональных данных при отсутствии оснований для их обработки;
9.1.10. незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
9.1.11. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
9.1.12. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
9.1.13. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
9.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с требованиями законодательства Республики Беларусь.
10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ
10.1. Защита персональных данных клиента осуществляется в порядке и способами, установленными законодательством. Организация при обработке персональных данных работников и клиентов принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
10.10. Защита персональных данных клиентов, хранящихся в электронных базах данных организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системным администратором.
10.11. Для защиты персональных данных индивидуальный предприниматель Шаповал Андрей Сергеевич принимает следующие необходимые меры (включая, но не ограничиваясь):
10.11.1. ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
10.11.2. обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
10.11.3. организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
10.11.4. контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
10.11.5. проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
10.11.6. внедряет программные и технические средства защиты информации в электронном виде;
10.11.7. обеспечивает возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.12. Для защиты персональных данных при их обработке в информационных системах организация проводит следующие мероприятия (включая, но не ограничиваясь):
10.12.1. определение угроз безопасности персональных данных при их обработке;
10.12.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
10.12.3. учет машинных носителей персональных данных;
10.12.4. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
10.12.5. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.12.6. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
10.13. В организации назначены лица, ответственные за организацию обработки персональных данных. Все сотрудники и уполномоченные лица, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны соблюдать требования локальных актов организации о неразглашении персональных данных клиентов и требования законодательства Республики Беларусь, в том числе Закона Республики Беларусь «О защите персональных данных».
10.14. В организации могут приниматься иные меры, направленные на обеспечение выполнения организацией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
11.2. Работники организации, допущенные к обработке персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.
11.3. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных с обязательным последующим размещением новой политики на сайте оператора.
11.4. Отсутствие контроля со стороны Организации за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.
11.5. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
ПОЛИТИКА ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных индивидуального предпринимателя Шаповала Андрея Сергеевича (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции Индивидуального предпринимателя Шаповала Андрея Сергеевича при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции, законодательных и иных НПА Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки ЛПА, регламентирующих у Индивидуального предпринимателя Шаповала Андрея Сергеевича вопросы обработки персональных данных работников и других субъектов персональных данных.
1.4. Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
1.5. Актуальная редакция Политики размещена в свободном доступе в глобальной компьютерной сети Интернет по адресу: osnovaniye.by/.
1.6. Политика вступает в силу с момента ее утверждения, действует в отношении всех персональных данных, обрабатываемых организацией, распространяется на все действия, совершаемые организации с персональными данными, на отношения в области обработки персональных данных, возникшие в организации как до, так и после утверждения Политики.
2. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НПА РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Политика обработки персональных данных у индивидуального предпринимателя Шаповала Андрея Сергеевича определяется в соответствии со следующими НПА:
— Конституция;
— Трудовой кодекс;
— Закон от 07.05.2021 № 99-З «О защите персональных данных»;
— Закон от 21.07.2008 № 418-З «О регистре населения»;
— Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
— иные НПА Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
3. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор — организация, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3.2. Клиенты — субъекты персональных данных, физические лица, индивидуальные предприниматели и юридические лица в лице их представителей, обращающиеся к организации с целью получения услуг и по другим хозяйственным операциям и вопросам в рамках предпринимательской деятельности организации (пользователи сервисных сайтов и порталов).
3.3. Работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с организацией, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с организацией), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с организацией-оператором.
3.4. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
3.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.9. Персональные данные — любая информация, относящаяся к идентифицированному физлицу или физлицу, которое может быть идентифицировано.
3.10. Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
3.11. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.12. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.13. Субъект персональных данных — физлицо, в отношении которого осуществляется обработка персональных данных.
3.14. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
3.15. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.16. Физлицо, которое может быть идентифицировано, — физлицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
3.17. Информация — сведения (сообщения, данные) независимо от формы их представления.
3.18. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
3.19. Пользователь Сайта — лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.
4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Индивидуальный предприниматель Шаповал Андрей Сергеевич, являясь оператором персональных данных, осуществляет обработку персональных данных своих работников, кандидатов на занятие вакантных должностей, контрагентов, являющихся физическими лицами, представителей и/или работников контрагентов, являющихся юридическими лицами или индивидуальными предпринимателями, посетителей сайта osnovaniye.by/, лиц, предоставивших индивидуальному предпринимателю Шаповалу Андрею Сергеевичу персональные данные путем оформления обращений, запросов сведений, при отправке отзывов, заполнении заявок и других субъектов персональных данных для обеспечения реализации целей обработки персональных данных, предусмотренных настоящей политикой.
4.2. Обработка персональных данных у индивидуального предпринимателя Шаповала Андрея Сергеевича осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
— обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
— обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
— обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
— оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
— хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
4.3. Персональные данные обрабатываются в целях:
— обеспечения соблюдения Конституции, законодательных и иных НПА Республики Беларусь;
— осуществления финансово-хозяйственной деятельности, в том числе оказание услуг субъекту персональных данных.
— регистрации и обслуживания субъекта персональных данных на сайте оператора;
— сохранения в CRM-системе оператора и на локальном сервере;
— осуществления коммуникаций с субъектами персональных данных, в том числе рассмотрение обращений и запросов;
— проведения оператором рекламных акций, конкурсов, иных мероприятий с участием субъектов персональных данных для продвижения услуг;
— получения от оператора рекламных материалов, информации и запросов, уведомлений, касающихся использования сайта, оказания услуг, посредством телефонной связи, SMS-сообщений, push-уведомлений, электронной почты, сообщений, направляемых посредством мессенджера Viber, Telegram и тому подобных.
— предоставления клиенту эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта.
— осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на индивидуального предпринимателя Шаповала Андрея Сергеевича, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы, исполнение обязанности налогового агента;
— регулирования трудовых отношений с работниками индивидуального предпринимателя Шаповала Андрея Сергеевича (содействие в трудоустройстве, обучение и продвижение, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового, бухгалтерского, налогового и воинского учетов, рассмотрение возможности трудоустройства кандидатов, ведения кадрового резерва, проверка кандидатов (в том числе их квалификации и опыта работы);
— защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
— осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с контрагентами (осуществления гражданско-правовых отношений);
— использование в процессе сотрудничества с организациями и индивидуальными предпринимателями;
— обеспечения пропускного и внутриобъектового режимов на объектах индивидуального предпринимателя Шаповала Андрея Сергеевича;
— формирования справочных материалов для внутреннего информационного обеспечения деятельности индивидуального предпринимателя Шаповала Андрея Сергеевича;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
— проведение статистических и/или оценочных исследований по эффективности работы индивидуального предпринимателя Шаповала Андрея Сергеевича.
4.4. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
4.5. Информация для принятия решения о выдаче согласия на обработку персональных данных:
— наименование и место нахождения оператора: Гомельская обл., г. Мозырь, ул. Гагарина, д.55а, кв. 33
4.6. У индивидуального предпринимателя Шаповала Андрея Сергеевича обрабатываются общедоступные персональные данные (фамилия, имя, отчество, номер телефона, адрес электронной почты, идентификационный номер, данные о месте регистрации, иные общедоступные персональные данные, необходимые для оказания услуг), в соответствии с законодательством Республики Беларусь с учетом целей обработки персональных данных, указанных в настоящей Политике. Фамилия, имя, отчество и идентификационный номер обрабатываются для идентификации клиента, контактный номер телефона и адрес электронной почты для коммуникаций с субъектами персональных данных, данные о месте регистрации для ведения бухгалтерского учета и взыскания задолженности за оказанные услуги, в случае необходимости.
4.7. Срок, на который дается согласие: 10 лет.
4.8. Для достижения целей обработки общедоступные персональные данные могут передаваться иностранным юридическим лицам в установленном порядке. Предоставляя свое согласие, субъект персональных данных осознает риски, связанные с трансграничной передачей персональных данных (возможность утечки, взлома серверов оператора).
4.9. Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку персональных данных в целях, указанных в настоящей Политике, за исключением случаев, предусмотренных ст. 6 Закона № 99-З и иными законодательными актами, когда такое согласие не требуется.
4.10. Отказ в предоставлении согласия на обработку персональных данных влечет невозможность для индивидуального предпринимателя Шаповала Андрея Сергеевича обрабатывать персональные данные, что может повлечь прекращение договорных отношений.
4.11. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.12. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также генетических персональных данных, у индивидуального предпринимателя Шаповала Андрея Сергеевича не осуществляется.
4.13. С целью обеспечения безопасности нахождения на объектах индивидуального предпринимателя Шаповала Андрея Сергеевича и сохранности имущества, помещения оборудованы камерами видеонаблюдения
5. ФУНКЦИИ ОПЕРАТОРА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор при осуществлении обработки персональных данных:
5.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных.
5.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.3. Назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
5.4. Издает ЛПА, определяющие политику и вопросы обработки и защиты персональных данных.
5.5. Осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь, в том числе Законом Республики Беларусь «О защите персональных данных»
5.6. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
5.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь.
5.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных.
5.9. Совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
1.1. Политика обработки персональных данных индивидуального предпринимателя Шаповала Андрея Сергеевича (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции Индивидуального предпринимателя Шаповала Андрея Сергеевича при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции, законодательных и иных НПА Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки ЛПА, регламентирующих у Индивидуального предпринимателя Шаповала Андрея Сергеевича вопросы обработки персональных данных работников и других субъектов персональных данных.
1.4. Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
1.5. Актуальная редакция Политики размещена в свободном доступе в глобальной компьютерной сети Интернет по адресу: osnovaniye.by/.
1.6. Политика вступает в силу с момента ее утверждения, действует в отношении всех персональных данных, обрабатываемых организацией, распространяется на все действия, совершаемые организации с персональными данными, на отношения в области обработки персональных данных, возникшие в организации как до, так и после утверждения Политики.
2. ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НПА РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Политика обработки персональных данных у индивидуального предпринимателя Шаповала Андрея Сергеевича определяется в соответствии со следующими НПА:
— Конституция;
— Трудовой кодекс;
— Закон от 07.05.2021 № 99-З «О защите персональных данных»;
— Закон от 21.07.2008 № 418-З «О регистре населения»;
— Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
— иные НПА Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
3. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор — организация, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3.2. Клиенты — субъекты персональных данных, физические лица, индивидуальные предприниматели и юридические лица в лице их представителей, обращающиеся к организации с целью получения услуг и по другим хозяйственным операциям и вопросам в рамках предпринимательской деятельности организации (пользователи сервисных сайтов и порталов).
3.3. Работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с организацией, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с организацией), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с организацией-оператором.
3.4. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
3.6. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.7. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.8. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.9. Персональные данные — любая информация, относящаяся к идентифицированному физлицу или физлицу, которое может быть идентифицировано.
3.10. Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
3.11. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.12. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.13. Субъект персональных данных — физлицо, в отношении которого осуществляется обработка персональных данных.
3.14. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
3.15. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.16. Физлицо, которое может быть идентифицировано, — физлицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
3.17. Информация — сведения (сообщения, данные) независимо от формы их представления.
3.18. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
3.19. Пользователь Сайта — лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.
4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Индивидуальный предприниматель Шаповал Андрей Сергеевич, являясь оператором персональных данных, осуществляет обработку персональных данных своих работников, кандидатов на занятие вакантных должностей, контрагентов, являющихся физическими лицами, представителей и/или работников контрагентов, являющихся юридическими лицами или индивидуальными предпринимателями, посетителей сайта osnovaniye.by/, лиц, предоставивших индивидуальному предпринимателю Шаповалу Андрею Сергеевичу персональные данные путем оформления обращений, запросов сведений, при отправке отзывов, заполнении заявок и других субъектов персональных данных для обеспечения реализации целей обработки персональных данных, предусмотренных настоящей политикой.
4.2. Обработка персональных данных у индивидуального предпринимателя Шаповала Андрея Сергеевича осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
— обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
— обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
— обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
— оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
— хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
4.3. Персональные данные обрабатываются в целях:
— обеспечения соблюдения Конституции, законодательных и иных НПА Республики Беларусь;
— осуществления финансово-хозяйственной деятельности, в том числе оказание услуг субъекту персональных данных.
— регистрации и обслуживания субъекта персональных данных на сайте оператора;
— сохранения в CRM-системе оператора и на локальном сервере;
— осуществления коммуникаций с субъектами персональных данных, в том числе рассмотрение обращений и запросов;
— проведения оператором рекламных акций, конкурсов, иных мероприятий с участием субъектов персональных данных для продвижения услуг;
— получения от оператора рекламных материалов, информации и запросов, уведомлений, касающихся использования сайта, оказания услуг, посредством телефонной связи, SMS-сообщений, push-уведомлений, электронной почты, сообщений, направляемых посредством мессенджера Viber, Telegram и тому подобных.
— предоставления клиенту эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием сайта.
— осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на индивидуального предпринимателя Шаповала Андрея Сергеевича, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы, исполнение обязанности налогового агента;
— регулирования трудовых отношений с работниками индивидуального предпринимателя Шаповала Андрея Сергеевича (содействие в трудоустройстве, обучение и продвижение, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового, бухгалтерского, налогового и воинского учетов, рассмотрение возможности трудоустройства кандидатов, ведения кадрового резерва, проверка кандидатов (в том числе их квалификации и опыта работы);
— защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
— осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с контрагентами (осуществления гражданско-правовых отношений);
— использование в процессе сотрудничества с организациями и индивидуальными предпринимателями;
— обеспечения пропускного и внутриобъектового режимов на объектах индивидуального предпринимателя Шаповала Андрея Сергеевича;
— формирования справочных материалов для внутреннего информационного обеспечения деятельности индивидуального предпринимателя Шаповала Андрея Сергеевича;
— исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
— проведение статистических и/или оценочных исследований по эффективности работы индивидуального предпринимателя Шаповала Андрея Сергеевича.
4.4. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
4.5. Информация для принятия решения о выдаче согласия на обработку персональных данных:
— наименование и место нахождения оператора: Гомельская обл., г. Мозырь, ул. Гагарина, д.55а, кв. 33
4.6. У индивидуального предпринимателя Шаповала Андрея Сергеевича обрабатываются общедоступные персональные данные (фамилия, имя, отчество, номер телефона, адрес электронной почты, идентификационный номер, данные о месте регистрации, иные общедоступные персональные данные, необходимые для оказания услуг), в соответствии с законодательством Республики Беларусь с учетом целей обработки персональных данных, указанных в настоящей Политике. Фамилия, имя, отчество и идентификационный номер обрабатываются для идентификации клиента, контактный номер телефона и адрес электронной почты для коммуникаций с субъектами персональных данных, данные о месте регистрации для ведения бухгалтерского учета и взыскания задолженности за оказанные услуги, в случае необходимости.
4.7. Срок, на который дается согласие: 10 лет.
4.8. Для достижения целей обработки общедоступные персональные данные могут передаваться иностранным юридическим лицам в установленном порядке. Предоставляя свое согласие, субъект персональных данных осознает риски, связанные с трансграничной передачей персональных данных (возможность утечки, взлома серверов оператора).
4.9. Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку персональных данных в целях, указанных в настоящей Политике, за исключением случаев, предусмотренных ст. 6 Закона № 99-З и иными законодательными актами, когда такое согласие не требуется.
4.10. Отказ в предоставлении согласия на обработку персональных данных влечет невозможность для индивидуального предпринимателя Шаповала Андрея Сергеевича обрабатывать персональные данные, что может повлечь прекращение договорных отношений.
4.11. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.12. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также генетических персональных данных, у индивидуального предпринимателя Шаповала Андрея Сергеевича не осуществляется.
4.13. С целью обеспечения безопасности нахождения на объектах индивидуального предпринимателя Шаповала Андрея Сергеевича и сохранности имущества, помещения оборудованы камерами видеонаблюдения
5. ФУНКЦИИ ОПЕРАТОРА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор при осуществлении обработки персональных данных:
5.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных.
5.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.3. Назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
5.4. Издает ЛПА, определяющие политику и вопросы обработки и защиты персональных данных.
5.5. Осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь, в том числе Законом Республики Беларусь «О защите персональных данных»
5.6. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
5.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь.
5.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных.
5.9. Совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
6. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
6.1. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
6.2. Обработка персональных данных у Оператора осуществляется смешанным путем:
— неавтоматизированным способом обработки персональных данных;
— автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
6.3. Все действия по неавтоматизированной обработке персональных данных осуществляются только должностными лицами, допущенными к работе с персональными данными, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе, путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством, в том числе Законом Республики Беларусь «О персональных данных» и настоящей Политикой.
6.4. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
6.5. Администратор или специалист по работе с клиентами при обработке запросов с сайта обрабатывает и вносит предоставленные клиентом общедоступные персональные данные в базу клиентов.
6.6. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
6.7. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
6.8. Оператор вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
— цели обработки персональных данных;
— перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
— обязанности по соблюдению конфиденциальности персональных данных;
— меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона от 07.05.2021 № 99-З «О защите персональных данных».
6.9. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению индивидуального предпринимателя Шаповала Андрея Сергеевича необходимо получение согласия субъекта персональных данных, такое согласие получает индивидуальный предприниматель Шаповал Андрей Сергеевич.
6.10. Оператор обеспечивает ограничение доступа к персональным данным клиентов и работников лицам, не уполномоченным законодательством Республики Беларусь, либо организацией для получения соответствующих сведений.
6.11. Доступ к персональным данным клиентов и работников без специального разрешения имеют только должностные лица организации, допущенные к работе с персональными данными клиентов и работников приказом руководителя. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.
6.12. Доступ к персональным данным предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. К таким лицам относятся
— руководитель Организации и его заместители при выполнении своих должностных обязанностей;
— лица, осуществляющие ведение бухгалтерского учета в организации, в пределах исполнения обязанностей по заключенным договорам;
— лица, осуществляющие правовую и кадровую работу в организации, в пределах исполнения обязанностей по заключенным договорам;
— сотрудники, занимающие должности, непосредственно связанные с работой с персональными данными клиента (администратор, специалист по работе с клиентами, тренер, экономист), в пределах исполнения своих должностных обязанностей;
6.13. Право доступа к личным делам работника имеет только руководитель организации и лицо, осуществляющее кадровую работу в организации.
6.14. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора общества или иного лица, уполномоченного на это директором общества. Соответствующие работники должны быть ознакомлены под роспись с настоящей Политикой, со всеми ЛПА организации в области персональных данных, с законом Республики Беларусь «О защите персональных данных», а также должны подписать обязательство о неразглашении персональных данных.
6.15. Работникам организации, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
6.16. Персональные данные клиентов и работников хранятся на бумажных носителях и в электронном виде.
6.17. Хранение персональных данных клиентов и работников осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого является субъект персональных данных, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.18. Хранение документов, содержащих персональные данные клиентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов либо в течении срока, указанного в этих документах. По истечении установленных сроков хранения документы подлежат уничтожению.
6.19. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах (запираемые на ключ шкафы) с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется организацией.
6.20. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых организацией информационных систем и специально обозначенных организацией баз данных (внесистемное хранение персональных данных) не допускается.
6.21. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание). При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.22. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
6.23. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.24. Передача информации, содержащей персональные данные, осуществляется способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
6.25. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
6.25.1. дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
6.25.2. персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
6.25.3. персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
6.25.4. такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
6.25.5. обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
6.25.6. такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
6.25.7. получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
6.26. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
6.27. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в организации, для предварительного рассмотрения и согласования.
6.28. Лица, получающие персональные данные, предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Организация вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъекты персональных данных имеют право на:
— разъяснение оператором предоставленных законом прав и обязанностей;
— отзыв согласия субъекта персональных данных;
— получение информации, касающейся обработки персональных данных, и изменение персональных данных;
— требование прекращения обработки персональных данных и (или) их удаления;
— обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
— получение полной информации о хранящихся у оператора его персональных данных;
— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством;
— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия;
— требование об извещении Нанимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжалование в суд любых неправомерных действий или бездействия оператора, Нанимателя при обработке и защите его персональных данных.
7.2. Для реализации своих прав субъект персональных данных должен подать индивидуальному предпринимателю Шаповалу Андрею Сергеевичу заявление в соответствии с требованиями, указанными в ст. 14 Закона Республики Беларусь «О защите персональных данных». Заявление может быть подано любым способом, который позволяет идентифицировать, что заявления исходит от конкретного человека. Заявление должно содержать личную подпись заявителя и может быть направлено на почтовый адрес оператора Гомельская обл., г. Мозырь, ул. Гагарина, д.55а, кв. 33 либо по e-mail info@osnovaniye.by.
7.3. Субъект персональных данных обязан:
— предоставлять оператору достоверные данные о себе;
— сообщать оператору об уточнении (обновлении, изменении) своих персональных данных.
7.4. Лица, передавшие оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
8. ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
8.1. Индивидуальный предприниматель Шаповал Андрей Сергеевич вправе:
8.1.1. устанавливать правила обработки персональных данных в организации, вносить изменения и дополнения в Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора;
8.1.2. осуществлять иные права, предусмотренные законодательством Республики Беларусь и ЛПА организации в области обработки и защиты персональных данных.
8.2. Индивидуальный предприниматель Шаповал Андрей Сергеевич обязан:
8.2.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
8.2.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.3. обеспечивать защиту персональных данных в процессе их обработки;
8.2.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
8.2.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
8.2.8. осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
8.2.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
8.2.10. выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.
9. МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
9.1.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
9.1.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
9.1.3. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
9.1.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
9.1.5. издание документов, определяющих политику в отношении обработки персональных данных;
9.1.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных, с Законом Республики Беларусь «О защите персональных данных» и настоящей Политикой;
9.1.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
9.1.8. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику в отношении обработки персональных данных, до начала такой обработки;
9.1.9. прекращение обработки персональных данных при отсутствии оснований для их обработки;
9.1.10. незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
9.1.11. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
9.1.12. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
9.1.13. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
9.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с требованиями законодательства Республики Беларусь.
10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ
10.1. Защита персональных данных клиента осуществляется в порядке и способами, установленными законодательством. Организация при обработке персональных данных работников и клиентов принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
10.10. Защита персональных данных клиентов, хранящихся в электронных базах данных организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системным администратором.
10.11. Для защиты персональных данных индивидуальный предприниматель Шаповал Андрей Сергеевич принимает следующие необходимые меры (включая, но не ограничиваясь):
10.11.1. ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
10.11.2. обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
10.11.3. организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
10.11.4. контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
10.11.5. проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
10.11.6. внедряет программные и технические средства защиты информации в электронном виде;
10.11.7. обеспечивает возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.12. Для защиты персональных данных при их обработке в информационных системах организация проводит следующие мероприятия (включая, но не ограничиваясь):
10.12.1. определение угроз безопасности персональных данных при их обработке;
10.12.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
10.12.3. учет машинных носителей персональных данных;
10.12.4. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
10.12.5. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.12.6. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
10.13. В организации назначены лица, ответственные за организацию обработки персональных данных. Все сотрудники и уполномоченные лица, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны соблюдать требования локальных актов организации о неразглашении персональных данных клиентов и требования законодательства Республики Беларусь, в том числе Закона Республики Беларусь «О защите персональных данных».
10.14. В организации могут приниматься иные меры, направленные на обеспечение выполнения организацией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
11.2. Работники организации, допущенные к обработке персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.
11.3. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных с обязательным последующим размещением новой политики на сайте оператора.
11.4. Отсутствие контроля со стороны Организации за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.
11.5. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
6.1. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
6.2. Обработка персональных данных у Оператора осуществляется смешанным путем:
— неавтоматизированным способом обработки персональных данных;
— автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
6.3. Все действия по неавтоматизированной обработке персональных данных осуществляются только должностными лицами, допущенными к работе с персональными данными, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе, путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством, в том числе Законом Республики Беларусь «О персональных данных» и настоящей Политикой.
6.4. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
6.5. Администратор или специалист по работе с клиентами при обработке запросов с сайта обрабатывает и вносит предоставленные клиентом общедоступные персональные данные в базу клиентов.
6.6. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
6.7. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
6.8. Оператор вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
— цели обработки персональных данных;
— перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
— обязанности по соблюдению конфиденциальности персональных данных;
— меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона от 07.05.2021 № 99-З «О защите персональных данных».
6.9. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению индивидуального предпринимателя Шаповала Андрея Сергеевича необходимо получение согласия субъекта персональных данных, такое согласие получает индивидуальный предприниматель Шаповал Андрей Сергеевич.
6.10. Оператор обеспечивает ограничение доступа к персональным данным клиентов и работников лицам, не уполномоченным законодательством Республики Беларусь, либо организацией для получения соответствующих сведений.
6.11. Доступ к персональным данным клиентов и работников без специального разрешения имеют только должностные лица организации, допущенные к работе с персональными данными клиентов и работников приказом руководителя. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.
6.12. Доступ к персональным данным предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. К таким лицам относятся
— руководитель Организации и его заместители при выполнении своих должностных обязанностей;
— лица, осуществляющие ведение бухгалтерского учета в организации, в пределах исполнения обязанностей по заключенным договорам;
— лица, осуществляющие правовую и кадровую работу в организации, в пределах исполнения обязанностей по заключенным договорам;
— сотрудники, занимающие должности, непосредственно связанные с работой с персональными данными клиента (администратор, специалист по работе с клиентами, тренер, экономист), в пределах исполнения своих должностных обязанностей;
6.13. Право доступа к личным делам работника имеет только руководитель организации и лицо, осуществляющее кадровую работу в организации.
6.14. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора общества или иного лица, уполномоченного на это директором общества. Соответствующие работники должны быть ознакомлены под роспись с настоящей Политикой, со всеми ЛПА организации в области персональных данных, с законом Республики Беларусь «О защите персональных данных», а также должны подписать обязательство о неразглашении персональных данных.
6.15. Работникам организации, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
6.16. Персональные данные клиентов и работников хранятся на бумажных носителях и в электронном виде.
6.17. Хранение персональных данных клиентов и работников осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого является субъект персональных данных, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.18. Хранение документов, содержащих персональные данные клиентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов либо в течении срока, указанного в этих документах. По истечении установленных сроков хранения документы подлежат уничтожению.
6.19. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах (запираемые на ключ шкафы) с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется организацией.
6.20. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых организацией информационных систем и специально обозначенных организацией баз данных (внесистемное хранение персональных данных) не допускается.
6.21. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание). При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.22. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
6.23. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.24. Передача информации, содержащей персональные данные, осуществляется способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
6.25. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
6.25.1. дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
6.25.2. персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
6.25.3. персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
6.25.4. такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
6.25.5. обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
6.25.6. такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
6.25.7. получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
6.26. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
6.27. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в организации, для предварительного рассмотрения и согласования.
6.28. Лица, получающие персональные данные, предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Организация вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъекты персональных данных имеют право на:
— разъяснение оператором предоставленных законом прав и обязанностей;
— отзыв согласия субъекта персональных данных;
— получение информации, касающейся обработки персональных данных, и изменение персональных данных;
— требование прекращения обработки персональных данных и (или) их удаления;
— обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
— получение полной информации о хранящихся у оператора его персональных данных;
— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством;
— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия;
— требование об извещении Нанимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжалование в суд любых неправомерных действий или бездействия оператора, Нанимателя при обработке и защите его персональных данных.
7.2. Для реализации своих прав субъект персональных данных должен подать индивидуальному предпринимателю Шаповалу Андрею Сергеевичу заявление в соответствии с требованиями, указанными в ст. 14 Закона Республики Беларусь «О защите персональных данных». Заявление может быть подано любым способом, который позволяет идентифицировать, что заявления исходит от конкретного человека. Заявление должно содержать личную подпись заявителя и может быть направлено на почтовый адрес оператора Гомельская обл., г. Мозырь, ул. Гагарина, д.55а, кв. 33 либо по e-mail info@osnovaniye.by.
7.3. Субъект персональных данных обязан:
— предоставлять оператору достоверные данные о себе;
— сообщать оператору об уточнении (обновлении, изменении) своих персональных данных.
7.4. Лица, передавшие оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
8. ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
8.1. Индивидуальный предприниматель Шаповал Андрей Сергеевич вправе:
8.1.1. устанавливать правила обработки персональных данных в организации, вносить изменения и дополнения в Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператора;
8.1.2. осуществлять иные права, предусмотренные законодательством Республики Беларусь и ЛПА организации в области обработки и защиты персональных данных.
8.2. Индивидуальный предприниматель Шаповал Андрей Сергеевич обязан:
8.2.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
8.2.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.3. обеспечивать защиту персональных данных в процессе их обработки;
8.2.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
8.2.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
8.2.8. осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
8.2.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
8.2.10. выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.
9. МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
9.1.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
9.1.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
9.1.3. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
9.1.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
9.1.5. издание документов, определяющих политику в отношении обработки персональных данных;
9.1.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных, с Законом Республики Беларусь «О защите персональных данных» и настоящей Политикой;
9.1.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
9.1.8. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику в отношении обработки персональных данных, до начала такой обработки;
9.1.9. прекращение обработки персональных данных при отсутствии оснований для их обработки;
9.1.10. незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
9.1.11. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
9.1.12. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
9.1.13. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
9.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с требованиями законодательства Республики Беларусь.
10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ
10.1. Защита персональных данных клиента осуществляется в порядке и способами, установленными законодательством. Организация при обработке персональных данных работников и клиентов принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
10.10. Защита персональных данных клиентов, хранящихся в электронных базах данных организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системным администратором.
10.11. Для защиты персональных данных индивидуальный предприниматель Шаповал Андрей Сергеевич принимает следующие необходимые меры (включая, но не ограничиваясь):
10.11.1. ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
10.11.2. обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
10.11.3. организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
10.11.4. контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
10.11.5. проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
10.11.6. внедряет программные и технические средства защиты информации в электронном виде;
10.11.7. обеспечивает возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
10.12. Для защиты персональных данных при их обработке в информационных системах организация проводит следующие мероприятия (включая, но не ограничиваясь):
10.12.1. определение угроз безопасности персональных данных при их обработке;
10.12.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
10.12.3. учет машинных носителей персональных данных;
10.12.4. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
10.12.5. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.12.6. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
10.13. В организации назначены лица, ответственные за организацию обработки персональных данных. Все сотрудники и уполномоченные лица, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны соблюдать требования локальных актов организации о неразглашении персональных данных клиентов и требования законодательства Республики Беларусь, в том числе Закона Республики Беларусь «О защите персональных данных».
10.14. В организации могут приниматься иные меры, направленные на обеспечение выполнения организацией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
11.2. Работники организации, допущенные к обработке персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.
11.3. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных с обязательным последующим размещением новой политики на сайте оператора.
11.4. Отсутствие контроля со стороны Организации за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.
11.5. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
ООО «ЦФР Основание»
Директор — Шаповал Андрей Сергеевич, действует на основании Устава.
Юр. адрес: Гомельская обл., г. Мозырь, ул. Притыцкого, 8, к. 5
Банк: ОАО «Альфа-Банк»
р/с BY76ALFA30122E08460010270000,
код ALFABY2X
Директор — Шаповал Андрей Сергеевич, действует на основании Устава.
Юр. адрес: Гомельская обл., г. Мозырь, ул. Притыцкого, 8, к. 5
Банк: ОАО «Альфа-Банк»
р/с BY76ALFA30122E08460010270000,
код ALFABY2X
Свидетельство о государственной регистрации юридического лица с УНП 491 567 298
Выдано: Мозырским районным исполнительным комитетом 13 октября 2023 г.
Выдано: Мозырским районным исполнительным комитетом 13 октября 2023 г.