Политика Закрытого Акционерного Общества «Инволюкс» в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика Закрытого акционерного общества «Инволюкс» в отношении обработки персональных данных (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ЗАО «Инволюкс» персональных данных, функции ЗАО «Инволюкс» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ЗАО «Инволюкс» требования к защите персональных данных.
1.2. Политика разработана во исполнение требований Закона Республики Беларусь от 07.05.2021 № 99-З "О защите персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Закрытое акционерное общество «Инволюкс» (далее - Предприятие).
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Предприятия как до, так и после утверждения Политики.
1.5. Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Предприятия.
1.6. В целях реализации положений Политики в ЗАО «Инволюкс» разрабатываются соответствующие локальные правовые акты и иные документы
1.7. Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
информация - сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.);
общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;
физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
оператор персональных данных – Закрытое акционерное общество «Инволюкс» (по тексту - Предприятие), зарегистрированное по адресу: улица Городская, 72, 224024, город Брест, Республика Беларусь, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
удаление персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
1.8. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Предприятие осуществляет обработку персональных данных, в том числе:
- Конституция Республики Беларусь;
- Гражданский кодекс Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Налоговый кодекс Республики Беларусь;
- Закон о персональных данных;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Предприятия.
Правовым основанием обработки персональных данных также являются:
- Устав ЗАО «Инволюкс»;
- договоры, заключаемые между ЗАО «Инволюкс» и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
2. Принципы и цели обработки персональных данных
2.1. Обработка персональных данных осуществляется на основе следующих принципов:
- обработка персональных данных осуществляется в соответствии с Законом о защите персональных данных и иными актами законодательства;
- обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных носит прозрачный характер. Субъекту персональных данных, в случаях, предусмотренных законодательством, может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
2.2. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъект персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2.3. Персональные данные относятся к категории конфиденциальной информации.
2.4. Обработка Предприятием персональных данных осуществляется в соответствии с Законом о персональных данных и в следующих целях:
- обеспечения соблюдения законодательства Республики Беларусь;
- осуществления функций, полномочий и обязанностей, возложенных на Предприятие законодательством Республики Беларусь и международными договорами Республики Беларусь, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- регулирования трудовых отношений с работниками Предприятия (исполнение условий трудового договора (контракта), содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- предоставление родственникам работников льгот и компенсаций;
- выявление конфликта интересов;
- ведения кадрового делопроизводства;
- привлечения и отбор кандидатов на работу в Предприятие, рассмотрение возможности трудоустройства кандидатов; ведение кадрового резерва; проверка кандидатов (в том числе их квалификации и опыта работы);
- заполнения и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- осуществления гражданско-правовых, бухгалтерских, налоговых отношений; подготовки, заключения, исполнения и прекращения гражданско-правовых договоров с контрагентами;
- ведения бухгалтерского учета;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- осуществления прав и законных интересов Предприятия в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Предприятия, либо достижения общественно значимых целей;
- соблюдения законодательства об акционерных обществах, о раскрытии информации;
- соблюдения антимонопольного законодательства, а также законодательства о защите прав потребителей;
- защиты прав и законных интересов Предприятия и его должностных лиц в судах, органах по разрешению споров, административных органах;
- обеспечения реализации трудовых, социальных и информационно-коммуникационных отношений с работниками Предприятия;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- обеспечения пропускного и внутриобъектового режимов на объектах ЗАО «Инволюкс»;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Предприятия;
- ведения корпоративных телефонных и иных информационных справочников, публикации сообщений на внутрикорпоративных порталах, общедоступных информационных системах персональных данных Предприятия;
- проведения аудиторских и контрольных проверок Предприятия;
- обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
- выпуск доверенностей и иных уполномочивающих документов;
- ведение переговоров, заключение и исполнение договоров; проверка контрагента;
- организация и сопровождение деловых поездок;
- проведение мероприятий и обеспечение участия в них субъектов персональных данных;
- реализации маркетинговых мероприятий; реклама и продвижение продукции, в том числе представление информации о продукции Предприятия;
- обработка обращений с претензиями и информацией по безопасности товаров;
- улучшения качества выпускаемой Предприятием продукции, предоставления и продвижения продукции, отправки уведомлений, коммерческих предложений, предоставления информации о деятельности предприятия;
- предоставления различных сервисов сайтом Предприятия;
- отправки персональных предложений, уведомлений, сообщений рекламного характера, иной информации, касающейся деятельности Предприятия, через различные каналы (почта, электронная почта, сервис СМС-сообщений, мессенджеров, других служб обмена сообщениями);
- сегментации и аналитики для целей программы поощрения;
- трансграничная передача персональных данных субъектов уполномоченным лицам для возможности осуществления деятельности Предприятия;
- в иных целях, вытекающих из требований законодательства и локальных правовых актов Предприятия.
2.5. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
3.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.2. Перечень персональных данных, которые обрабатываются в ЗАО «Инволюкс» утверждается генеральным директором предприятия.
3.3. Предприятие, являясь оператором персональных данных, осуществляет обработку персональных данных следующих основных категорий субъектов персональных данных (далее Субъекты):
- акционеров (участников, учредителей) и аффилированных лиц Предприятия;
- работников Предприятия, его филиалов и представительств, состоящих с Предприятием в отношениях, регулируемых трудовым законодательством Республики Беларусь, членов их семей (близких родственников), уволенных работников, являющихся пенсионерами;
- физических лиц, являющихся кандидатами при подборе на занятие должностей служащих (профессий рабочих) в Предприятии;
- физических лиц – клиентов Предприятия;
- физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и отвечает требованиям, установленных законодательством;
- иных представителей Предприятия;
- других Субъектов персональных данных, не состоящих с Предприятием в трудовых отношениях;
- контрагентов (физических лиц), с которыми заключены (будут заключены, планируются к заключению) сделки, либо являющиеся одной из сторон гражданско-правовых договоров;
- работников и иных представителей контрагентов - юридических лиц;
- иных физических лиц, выразивших согласие на обработку Предприятием их персональных данных, или физических лиц, обработка персональных данных которых необходима Предприятию для достижения целей, предусмотренных законодательством;
- иных физических лиц, обработка персональных данных которых Предприятием предусмотрена в соответствии с законодательством и локальными правовыми актами с учетом целей обработки персональных данных, указанных в настоящей Политике;
- физических лиц, предоставивших персональные данные путем заполнения письменных, электронных анкет в ходе проводимых рекламных и иных мероприятий;
- физических лиц, предоставивших персональные данные иным путем. Политика действует также в отношении обрабатываемых Предприятием персональных данных Субъекта, которые могут быть получены Предприятием от другого оператора, являющегося нанимателем данного Субъекта.
3.4. Обработка Предприятия биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.
3.5. Предприятием не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь
4. Порядок и условия обработки персональных данных
4.1. Обработка персональных данных осуществляется Предприятием в соответствии с требованиями законодательства Республики Беларусь.
4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.
4.3. Предприятие осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных, а также смешанным образом, в т.ч. в информационно-телекоммуникационных сетях с использованием внутренней сети и сети Интернет, в целях, указанных в Политике.
4.4. К обработке персональных данных допускаются работники Предприятия, в должностные обязанности которых входит обработка персональных данных.
4.5. Предприятие обрабатывает персональные данные Субъекта, полученные путем:
- получения персональных данных в устной и письменной форме (в том числе путем заполнения анкет) непосредственно от Субъекта персональных данных;
- получения персональных данных из общедоступных источников;
- внесения персональных данных Субъектом самостоятельно в журналы, реестры и информационные системы Предприятия, в специальные формы, расположенные на сайте Предприятия.
4.6. Предприятие осуществляет сбор (получение), обработку (запись, систематизацию, накопление, уточнение, обновление, изменение, извлечение, использование), хранение, передачу (распространение, предоставление доступа), уничтожение (обезличивание, блокирование, удаление) персональных данных в целях, указанных в настоящей Политике.
4.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
4.8. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.
4.9. Предприятие принимает необходимые меры по удалению или уточнению неполных или неточных данных.
4.10. Предприятие принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные правовые акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в информационных системах Предприятия;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Предприятия, осуществляющих обработку персональных данных.
4.11. В целях внутреннего информационного обеспечения ЗАО «Инволюкс» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
4.12. Доступ к обрабатываемым в ЗАО «Инволюкс» персональным данным разрешается только работникам ЗАО «Инволюкс», занимающим должности, включенные в перечень лиц, имеющих допуск к персональным данным обрабатываемым ЗАО «Инволюкс», утвержденный генеральным директором.
4.13. Персональные данные могут храниться на бумажных носителях, в форме компьютерных файлов, в информационных системах Предприятия.
4.14. Предприятие осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.
4.15. Обработка персональных данных начинается с момента возникновения правовых оснований для обработки персональных данных, перечисленных в настоящей Политике.
4.16. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством и локальными правовыми актами Предприятия, при обнаружении неправомерной обработки персональных данных; прекращения деятельности Предприятия. В этом случае происходит прекращение обработки персональных данных Субъекта, осуществляется их удаление
5. Права и обязанности субъекта персональных данных
5.1. Субъект осуществляет свои права и выполняет обязанности в объеме и порядке, установленными законодательством Республики Беларусь.
5.2. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством;
- требовать от Предприятия уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
- получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- в любое время без объяснения причин отозвать свое согласие на обработку персональных данных посредством подачи Предприятию заявления в форме, посредством которой получено согласие, либо в порядке, установленном законодательством;
- требовать от Предприятия бесплатного прекращения обработки своих персональных данных, включая их блокирование или удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами, а также принимать предусмотренные законом меры по защите своих прав;
- обжаловать действия (бездействие) и решения Предприятия, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц;
- осуществлять иные права, предусмотренные законодательством Республики Беларусь.
5.3. Субъект персональных данных обязан:
- предоставлять Предприятию исключительно достоверные персональные данные;
- в случае необходимости предоставлять Предприятию документы, содержащие персональные данные, в объеме, необходимом для цели их обработки;
- своевременно информировать Предприятие об изменениях и дополнениях своих персональных данных, в случаях, установленных законодательством;
- исполнять иные обязанности, предусмотренные законодательством.
Лицо, предоставившее Предприятию неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь
6. Основные права и обязанности предпрития
6.1. Предприятие осуществляет свои права и выполняет обязанности в объеме и порядке, установленными законодательством Республики Беларусь
6.2. Предприятие имеет право:
- получать от субъекта персональных данных достоверную информацию и (или) документы, содержащие персональные данные;
- запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
- отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе, если они являются необходимыми для заявленных целей их обработки;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
- поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
- осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Предприятия в области обработки и защиты персональных данных.
6.3. Предприятие обязано:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- разъяснять Субъекту его права, связанные с обработкой персональных данных;
- получать согласие Субъекта на обработку персональных данных, кроме случаев, предусмотренных законодательством;
- обеспечивать защиту персональных данных в процессе их обработки;
- принимать меры по обеспечению достоверности обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;
- отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
- предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам, за исключением предусмотренных законодательством;;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;
- вносить изменения в персональные данные, которые являются неполными, неточными, устаревшими, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательством, либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Предприятию стало известно о таких нарушениях;
- исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
- выполнять иные обязанности, предусмотренные законодательством Республики Беларусь
7. Заключительные положения
7.1. Контроль за исполнением требований Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Предприятии.
7.2. Ответственность за нарушение требований законодательства Республики Беларусь и нормативных актов Предприятия в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.
7.3. Предприятие формирует статистическую и иную отчетность, а также раскрывает сведения в отношении акционеров, аффилированных лиц предприятия, в соответствии с требованиями законодательства Республики Беларусь.
7.4. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
7.5. При внесении изменений в акты законодательства, а также в случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящей Политикой, необходимо руководствоваться такими изменениями, иными нормативными правовыми актами до внесения соответствующих изменений в Политику
7.6. Предприятие имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов персональных данных. Действующая редакция Политики постоянно доступна по адресу: https://www.involux.com