Политика обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных в ИП Незнаев Андрей Сергеевич (далее – Политика) устанавливает ключевые принципы, цели, условия и методы обработки персональных данных, список субъектов и видов персональных данных, обрабатываемых в ИП Незнаев Андрей Сергеевич, а также определяет функции организации в процессе обработки персональных данных и права субъектов персональных данных, наряду с требованиями к защите персональных данных, реализуемыми в ИП Незнаев Андрей Сергеевич.
1.2. Политика разработана с учетом норм Конституции, а также законодательных и иных нормативных правовых актов Республики Беларусь, касающихся защиты персональных данных.
1.3. Положения данной Политики служат основой для разработки локальных правовых актов, регулирующих в ИП Незнаев Андрей Сергеевич вопросы обработки персональных данных работников и других субъектов.
1.4. Передавая свои персональные данные Оператору, в том числе через интернет-ресурсы, субъект персональных данных подтверждает своё согласие на обработку предоставленной информации в соответствии с условиями, изложенными в данной Политике.
1.5. Актуальная версия Политики доступна для ознакомления в глобальной сети Интернет по следующему адресу: www.comfort-trans.by.
1.6. Политика вступает в силу с момента её утверждения и применяется ко всем персональным данным, обрабатываемым организацией. Она охватывает все действия, связанные с обработкой персональных данных, включая отношения, возникшие до и после её утверждения.
ГЛАВА 2
ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, КОТОРЫЕ ЛЕЖАТ В ОСНОВЕ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИП НЕЗНАЕВ АНДРЕЙ СЕРГЕЕВИЧ
2.1. Политика обработки персональных данных в ИП Незнаев Андрей Сергеевич определяется на основании следующих нормативных правовых актов:
– Конституция;
– Трудовой кодекс;
– Закон от 07.05.2021 № 99-З «О защите персональных данных»;
– Закон от 21.07.2008 № 418-З «О регистре населения»;
– Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
– иные нормативные правовые акты Республики Беларусь и документы, разработанные уполномоченными органами государственной власти.
ГЛАВА 3
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ ПРАВОВЫХ АКТАХ ИП НЕЗНАЕВ АНДРЕЙ СЕРГЕЕВИЧ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор — организация, которая самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели обработки, состав обрабатываемых данных и действия, совершаемые с ними.
3.2. Клиенты — субъекты персональных данных, физические лица (граждане Республики Беларусь или Российской Федерации), индивидуальные предприниматели и юридические лица, действующие через своих представителей, которые обращаются в организацию с целью получения услуг или по другим вопросам в рамках предпринимательской деятельности (пользователи сервисных сайтов и порталов).
3.3. Работники — субъекты персональных данных, физические лица, находящиеся в трудовых или иных гражданско-правовых отношениях с организацией, включая соискателей и лиц, ранее состоявших в подобных отношениях.
3.4. Биометрические персональные данные — информация, отражающая физиологические и биологические характеристики человека, используемая для его уникальной идентификации (например, отпечатки пальцев, радужная оболочка глаза, изображение лица и др.).
3.5. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
3.6. Обезличивание персональных данных — действия, позволяющие сделать невозможным определение принадлежности данных конкретному субъекту без дополнительной информации.
3.7. Обработка персональных данных — любое действие или совокупность действий, производимых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление и удаление данных.
3.8. Общедоступные персональные данные — данные, которые были распространены самим субъектом или с его согласия, либо опубликованные в соответствии с требованиями законодательства.
3.9. Персональные данные — любая информация, касающаяся идентифицированного или идентифицируемого физического лица.
3.10. Предоставление персональных данных — действия, направленные на ознакомление с данными определенного лица или группы лиц.
3.11. Распространение персональных данных — действия, направленные на ознакомление с данными неопределённого круга лиц.
3.12. Специальные персональные данные — данные, касающиеся расовой или национальной принадлежности, политических убеждений, членства в профессиональных союзах, религиозных или иных убеждений, здоровья, половой жизни, а также данные о привлечении к административной или уголовной ответственности, включая биометрические и генетические данные.
3.13. Субъект персональных данных — физическое лицо, в отношении которого производится обработка персональных данных.
3.14. Трансграничная передача персональных данных — передача данных на территорию другого государства.
3.15. Удаление персональных данных — действия, в результате которых данные становятся недоступными для восстановления в информационных системах или уничтожаются с физических носителей.
3.16. Идентифицируемое физическое лицо — лицо, которое может быть прямо или косвенно определено по различным признакам, таким как фамилия, имя, дата рождения и другие характеристики его личности.
3.17. Информация — сведения, независимо от формы их представления.
3.18. Автоматизированная обработка персональных данных — обработка данных с использованием вычислительной техники.
3.19. Пользователь Сайта — лицо, имеющее доступ к сайту через Интернет и использующее его.
ГЛАВА 4
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. ИП Незнаев Андрей Сергеевич, выступая в роли оператора персональных данных, осуществляет обработку данных работников, кандидатов на вакантные должности, контрагентов, являющихся физическими лицами, представителей и работников юридических лиц и индивидуальных предпринимателей, посетителей сайта www.comfort-trans.by, а также лиц, предоставивших свои данные через обращения, запросы, отзывы и заявки, с целью реализации целей обработки, указанных в данной Политике.
4.2. Обработка персональных данных в ИП Незнаев Андрей Сергеевич проводится с учетом необходимости защиты прав и свобод субъектов данных, включая защиту права на личную жизнь и тайну, на основе следующих принципов:
– обработка данных осуществляется законно и справедливо;
– обработка данных соответствует заявленным целям и учитывает интересы всех сторон;
– обработка данных осуществляется с согласия субъекта, если иное не предусмотрено законом;
– обработка данных ограничивается достижением конкретных, заранее определенных целей, исключая обработку, несовместимую с изначальными целями;
– содержание и объем обрабатываемых данных соответствуют заявленным целям и не являются избыточными;
– обработка данных является прозрачной, и субъектам предоставляется информация о процессе;
– оператор принимает меры для обеспечения достоверности обрабатываемых данных и обновляет их при необходимости;
– хранение данных осуществляется в формате, позволяющем идентифицировать субъекта, не дольше, чем это необходимо для достижения заявленных целей. Персональные данные обрабатываются в ИП Незнаев Андрей Сергеевич с целью:
– обеспечения соблюдения Конституции, законодательства и других нормативных правовых актов Республики Беларусь, а также локальных нормативных актов ИП Незнаев Андрей Сергеевич;
– ведения финансово-хозяйственной деятельности ИП Незнаев Андрей Сергеевич, включая предоставление услуг субъекту персональных данных;
– регистрации и обслуживания субъектов персональных данных на сайте оператора;
– хранения данных в автоматизированной системе оператора и на локальном сервере;
– осуществления коммуникаций с субъектами персональных данных, включая рассмотрение обращений и запросов;
– проведения рекламных акций, конкурсов и других мероприятий с участием субъектов персональных данных для продвижения услуг;
– получения от оператора рекламных материалов, информации и запросов, уведомлений, касающихся использования сайта и предоставления услуг, через телефонные звонки, SMS, push-уведомления, электронную почту, сообщения в мессенджерах Viber, WhatsApp, Telegram;
– обеспечения клиенту качественной клиентской и технической поддержки в случае возникновения проблем, связанных с использованием сайта;
– выполнения функций и обязанностей, возложенных законодательством Республики Беларусь на ИП Незнаев Андрей Сергеевич, включая предоставление персональных данных в государственные органы, Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь и другие государственные структуры, а также выполнение обязанностей налогового агента;
– регулирования трудовых отношений с работниками ИП Незнаев Андрей Сергеевич (содействие в трудоустройстве, обучение и продвижение, обеспечение личной безопасности, контроль количества и качества выполняемой работы, охрана имущества, ведение кадрового, бухгалтерского, налогового и воинского учета, рассмотрение возможности трудоустройства кандидатов, создание кадрового резерва, проверка кандидатов, включая их квалификацию и опыт работы);
– защиты жизни, здоровья или других жизненно важных интересов субъектов персональных данных;
– осуществления преддоговорной работы, подготовки проектов договоров, заключения, исполнения и прекращения договоров с контрагентами (осуществления гражданско-правовых отношений);
– сотрудничества с организациями и индивидуальными предпринимателями;
– обеспечения пропускного и внутриобъектового режимов на объектах ИП Незнаев Андрей Сергеевич;
– формирования справочных материалов для внутреннего информационного обеспечения деятельности ИП Незнаев Андрей Сергеевич;
– исполнения судебных актов и других решений, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
– защиты прав и законных интересов ИП Незнаев Андрей Сергеевич в рамках осуществления предусмотренных Уставом видов деятельности или достижения общественно значимых целей;
– проведения статистических и/или оценочных исследований по эффективности работы ИП Незнаев Андрей Сергеевич.
Персональные данные обрабатываются исключительно с целью достижения одной или нескольких из указанных законных целей. Если персональные данные были собраны для определенной цели, их использование в других целях требует уведомления субъекта персональных данных и, при необходимости, получения нового согласия на обработку.
Информация, необходимая для принятия решения о выдаче согласия на обработку персональных данных:
– название и адрес оператора: ИП Незнаев Андрей Сергеевич, г. Минск, улица Кунцевщина, д. 11, квартира 151;
В ИП Незнаев Андрей Сергеевич обрабатываются общедоступные персональные данные (фамилия, имя, отчество, номер телефона, адрес электронной почты, идентификационный номер, данные о месте регистрации и другие общедоступные персональные данные, необходимые для предоставления услуг), в соответствии с законодательством Республики Беларусь и локальными нормативными актами ИП Незнаев Андрей Сергеевич с учетом целей обработки персональных данных, указанных в настоящей Политике. Фамилия, имя, отчество и идентификационный номер обрабатываются для идентификации клиента; контактный номер телефона и адрес электронной почты предназначены для коммуникации с субъектами персональных данных; данные о месте регистрации используются для бухгалтерского учета и взыскания задолженности за оказанные услуги, если это необходимо. В ИП Незнаев Андрей Сергеевич не обрабатываются специальные, генетические и биометрические персональные данные.
Срок, на который дается согласие: 5 лет.
Для достижения целей обработки общедоступные персональные данные могут передаваться иностранным юридическим лицам в установленном порядке. Предоставляя свое согласие, субъект персональных данных осознает риски, связанные с трансграничной передачей персональных данных (возможность утечки или взлома серверов оператора).
Обработка персональных данных осуществляется только после получения согласия субъекта на обработку данных в целях, указанных в настоящей Политике, за исключением случаев, предусмотренных статьей 6 Закона №99-З и другими нормативными актами, когда согласие не требуется.
Отказ от предоставления согласия на обработку персональных данных может привести к невозможности для ИП Незнаев Андрей Сергеевич обрабатывать персональные данные, что может повлечь за собой прекращение договорных отношений.
Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или при утрате необходимости в их достижении, если иное не предусмотрено законодательством.
Обработка специальных персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, членства в профсоюзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также генетических персональных данных в ИП Незнаев Андрей Сергеевич не осуществляется
ГЛАВА 5
ФУНКЦИИ ИП НЕЗНАЕВ АНДРЕЙ СЕРГЕЕВИЧ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИП Незнаев Андрей Сергеевич при обработке персональных данных:
5.1. Принимает необходимые меры для соблюдения требований законодательства Республики Беларусь в области персональных данных.
5.2. Устанавливает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и других неправомерных действий.
5.3. Назначает ответственное лицо для осуществления внутреннего контроля за обработкой персональных данных.
5.4. Разрабатывает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в ИП Незнаев Андрей Сергеевич.
5.5. Обеспечивает ознакомление работников, занимающихся обработкой персональных данных, с положениями законодательства Республики Беларусь, включая Закон Республики Беларусь «О защите персональных данных» и локальные нормативные акты ИП Незнаев Андрей Сергеевич в этой области, в том числе требования к защите персональных данных.
5.6. Публикует или иным образом обеспечивает открытый доступ к настоящей Политике.
5.7. Уведомляет субъектов персональных данных или их представителей о наличии персональных данных, относящихся к ним, и предоставляет возможность ознакомиться с этими данными при обращении и (или) поступлении запросов, если иное не предусмотрено законодательством Республики Беларусь.
5.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь.
5.9. Выполняет другие действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
ГЛАВА 6
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
6.1. ИП Незнаев Андрей Сергеевич осуществляет обработку персональных данных (любое действие или совокупность действий, связанных с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление и удаление персональных данных).
6.2. Обработка персональных данных в ИП Незнаев Андрей Сергеевич осуществляется смешанным способом:
– неавтоматизированным способом;
– автоматизированным способом с использованием персональных ЭВМ и специализированных программных продуктов.
6.3. Все действия по неавтоматизированной обработке персональных данных выполняются только уполномоченными должностными лицами и в объеме, необходимом для выполнения их трудовых обязанностей. Сотрудники, занимающиеся обработкой персональных данных без применения автоматизированных средств, уведомляются (в том числе, через ознакомление с данной Политикой) о факте обработки персональных данных, о категориях таких данных, а также о специфике и правилах, регулирующих эту обработку в соответствии с законодательством, включая Закон Республики Беларусь «О персональных данных» и настоящую Политику.
6.4. При обработке персональных данных на материальных носителях не допускается сохранение на одном носителе данных, цели обработки которых изначально несовместимы.
6.5. Специалист по работе с клиентами обрабатывает общедоступные персональные данные, предоставленные клиентом, для оформления заказов, заключения договоров и внесения информации в автоматизированные программы. Логист в процессе взаимодействия с клиентами, сотрудниками организации и привлеченными подрядчиками обрабатывает общедоступные персональные данные, необходимые для выполнения служебных обязанностей, включая согласование условий качественного предоставления услуг и поиск подрядчиков для выполнения заявок. Главный бухгалтер также обрабатывает общедоступные персональные данные, предоставленные клиентом, сотрудниками организации или подрядчиками в рамках своих должностных обязанностей.
6.6. Обработка персональных данных в ИП Незнаев Андрей Сергеевич осуществляется с согласия субъекта на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в данной области.
6.7. Без согласия субъекта персональных данных ИП Незнаев Андрей Сергеевич не передает их третьим лицам и не распространяет, если это не предусмотрено законодательством Республики Беларусь.
6.8. ИП Незнаев Андрей Сергеевич имеет право поручить обработку персональных данных уполномоченному лицу на основании договора. Договор должен включать:
– цели обработки персональных данных;
– перечень действий, которые будут осуществляться с персональными данными уполномоченным лицом;
– обязательства по соблюдению конфиденциальности персональных данных;
– меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона от 07.05.2021 №99-З «О защите персональных данных».
6.9. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки данных требуется согласие, это согласие получает само ИП Незнаев Андрей Сергеевич.
6.10. Организация обеспечивает ограничение доступа к персональным данным клиентов и сотрудников для лиц, не имеющих на то полномочий согласно законодательству Республики Беларусь или внутренним правилам организации.
6.11. Доступ к персональным данным клиентов и сотрудников без специального разрешения имеют лишь должностные лица, допущенные к работе с такими данными по приказу руководителя. В их должностные обязанности включается пункт о соблюдении требований по защите персональных данных и ответственности за их нарушение.
6.12. Доступ к персональным данным предоставляется только тем работникам организации, чьи служебные обязанности требуют работы с такими данными, и только на необходимый срок. К этой категории относятся:
– руководитель организации и его заместители в процессе выполнения своих обязанностей;
– лица, занимающиеся бухгалтерским учетом в организации в рамках исполнения своих обязанностей по договорам;
– сотрудники, занимающиеся правовой и кадровой работой в рамках исполнения своих обязанностей по договорам;
– работники, непосредственно взаимодействующие с персональными данными клиентов (специалист по работе с клиентами, логист), в пределах своих служебных обязанностей;
– сам работник организации.
6.13. Право доступа к личным делам работника имеют только руководитель организации и кадровый работник.
6.14. В случае необходимости предоставить доступ к персональным данным работникам, не обладающим соответствующими полномочиями, временный доступ к ограниченному кругу персональных данных может быть предоставлен по распоряжению руководителя организации или уполномоченного им лица. Эти работники должны быть ознакомлены под роспись с настоящей Политикой, а также с другими локальными нормативными актами организации в области персональных данных и подписать обязательство о неразглашении данных.
6.15. Работникам организации, не имеющим должного оформления допуска, доступ к персональным данным категорически запрещен.
6.16. Персональные данные клиентов и сотрудников хранятся как в бумажном, так и в электронном виде.
6.17. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта, но не дольше, чем это необходимо для достижения целей их обработки, если иное не указано в законодательстве Республики Беларусь или в договоре, стороной которого является субъект данных. Такие данные подлежат уничтожению по достижении целей обработки или утрате необходимости в их хранении.
6.18. Документы, содержащие персональные данные клиентов и сотрудников, хранятся в течение сроков, установленных действующими нормативными актами или указанными в самих документах. По истечении этих сроков документы подлежат уничтожению.
6.19. Документы с персональными данными на бумажных носителях хранятся в специально отведенных местах (запираемые шкафы) с ограниченным доступом, обеспечивающих защиту от несанкционированного доступа. Перечень мест хранения определяет организация.
6.20. Персональные данные в электронном виде защищаются от несанкционированного доступа с использованием специальных технических и программных средств. Хранение персональных данных вне применяемых в организации информационных систем и обозначенных баз данных не допускается.
6.21. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению или обезличиванию при достижении целей обработки, утрате необходимости в них или по истечении сроков хранения. Уничтожение или обезличивание должно проводиться так, чтобы избежать дальнейшей обработки этих данных. В случае необходимости следует сохранить возможность обработки других данных, зафиксированных на том же материальном носителе. При уничтожении или блокировке части персональных данных материальный носитель уничтожается или блокируется с предварительным копированием данных, которые не подлежат уничтожению, способом, исключающим одновременное копирование данных, подлежащих уничтожению.
6.22. Если требуется использование или распространение определенных персональных данных отдельно от других, находящихся на том же материальном носителе, осуществляется копирование персональных данных, подлежащих распространению, способом, исключающим одновременное копирование данных, которые не подлежат распространению. Используется (распространяется) только копия таких данных.
6.23. Уточнение персональных данных при их обработке без автоматизации производится путем обновления или изменения данных на материальном носителе. Если это невозможно из-за технических особенностей носителя, уточнения производятся путем фиксации изменений на том же носителе или создания нового носителя с обновленными данными.
6.24. Передача информации, содержащей персональные данные, осуществляется с использованием методов, обеспечивающих защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования и распространения, а также других неправомерных действий.
6.25. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
6.25.1. дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
6.25.2. персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
6.25.3. персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
6.25.4. такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
6.25.5. обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
6.25.6. такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
6.25.7. получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
6.26. В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
6.27. Все поступающие запросы должны передаваться лицу, ответственному за организацию обработки персональных данных в организации, для предварительного рассмотрения и согласования.
6.28. Лица, получающие персональные данные, предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Организация вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
ГЛАВА 7
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъекты персональных данных имеют право на:
— разъяснение оператором предоставленных законом прав и обязанностей;
— отзыв согласия субъекта персональных данных;
— получение информации, касающейся обработки персональных данных, и изменение персональных данных;
— требование прекращения обработки персональных данных и (или) их удаления;
— обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
— получение полной информации о хранящихся у оператора его персональных данных;
— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством;
— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия;
— требование об извещении Нанимателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжалование в суд любых неправомерных действий или бездействия оператора, Нанимателя при обработке и защите его персональных данных.
7.2. Для реализации своих прав субъект персональных данных должен подать в организацию заявление в соответствии с требованиями, указанными в ст. 14 Закона Республики Беларусь «О защите персональных данных». Заявление может быть подано любым способом, который позволяет идентифицировать, что заявления исходит от конкретного человека. Заявление должно содержать личную подпись заявителя и может быть направлено на почтовый адрес оператора
(220017, г. Минск, улица Кунцевщина, д. 11, кв.151 либо по e-mail comfort-trans.by@yandex.ru).
7.3. Субъект персональных данных обязан:
– предоставлять оператору достоверные данные о себе;
– сообщать оператору об уточнении (обновлении, изменении) своих персональных данных.
7.4. Лица, передавшие оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
ГЛАВА 8
ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
8.1. ИП Незнаев Андрей Сергеевич вправе:
8.1.1. устанавливать правила обработки персональных данных в организации, вносить изменения и дополнения в Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей оператор
8.1.2. осуществлять иные права, предусмотренные законодательством Республики Беларусь и ЛПА организации в области обработки и защиты персональных данных.
8.2. ИП Незнаев Андрей Сергеевич обязан:
8.2.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
8.2.2. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.3. обеспечивать защиту персональных данных в процессе их обработки;
8.2.4. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
8.2.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами;
8.2.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
8.2.8. осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
8.2.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
8.2.10. выполнять иные обязанности, предусмотренные Законом № 99-З и иными законодательными актами.
ГЛАВА 9
МЕРЫ, ПРИНИМАЕМЫЕ ИП Незнаев Андрей Сергеевич ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Меры, необходимые и достаточные для обеспечения выполнения ИП Незнаев Андрей Сергеевич обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
9.1.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
9.1.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
9.1.3. получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
9.1.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в ИП Незнаев Андрей Сергеевич;
9.1.5. издание документов, определяющих политику ИП Незнаев Андрей Сергеевич. в отношении обработки персональных данных;
9.1.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных в ИП Незнаев Андрей Сергеевич, с Законом Республики Беларусь «О защите персональных данных» и настоящей Политикой;
9.1.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
9.1.8. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику ИП Незнаев Андрей Сергеевич в отношении обработки персональных данных, до начала такой обработки;
9.1.9. прекращение обработки персональных данных при отсутствии оснований для их обработки;
9.1.10. незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
9.1.11. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
9.1.12. осуществление регулярного мониторинга и анализа процессов обработки персональных данных для выявления возможных рисков и их минимизации;
9.1.13. проведение обучений и инструктажей для сотрудников, занимающихся обработкой персональных данных, с целью повышения их осведомленности о правилах и мерах защиты данных;
9.1.14. разработка и внедрение мероприятий по восстановлению доступа к персональным данным в случае их утраты или повреждения;
9.1.15. взаимодействие с уполномоченными государственными органами в целях обеспечения соблюдения законодательства о персональных данных.
9.2. Все указанные меры направлены на соблюдение прав субъектов персональных данных и выполнение обязательств ИП Незнаев Андрей Сергеевич в области обработки и защиты персональных данных, что способствует созданию безопасной среды для обработки информации и повышает доверие клиентов. осуществление изменений, блокировки и удаления недостоверных или незаконно полученных персональных данных;
9.1.12. ограничение обработки персональных данных с целью достижения конкретных, заранее определенных законных целей;
9.1.13. хранение персональных данных в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для достижения заявленных целей обработки.
9.2. Меры по обеспечению безопасности персональных данных в процессе их обработки в информационных системах устанавливаются в соответствии с требованиями законодательства Республики Беларусь.
ГЛАВА 10
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И КЛИЕНТОВ
10.1. Защита персональных данных клиентов осуществляется в порядке и способами, предусмотренными законодательством. Организация, обрабатывая персональные данные работников и клиентов, принимает необходимые правовые, организационные и технические меры для защиты данных от неправомерного или случайного доступа, уничтожения, изменения, блокировки, копирования, предоставления, распространения, а также от других неправомерных действий.
10.2. Система защиты персональных данных включает организационные и технические меры, определенные с учетом актуальных угроз безопасности данных и используемых информационных технологий.
10.10. Защита персональных данных клиентов, хранящихся в электронных базах данных организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системным администратором.
10.11. Для защиты персональных данных ИП Незнаев Андрей Сергеевич принимает следующие меры (включая, но не ограничиваясь):
10.11.1. ограничивает и регламентирует состав работников, чьи функциональные обязанности требуют доступа к информации с персональными данными (в том числе с использованием паролей для доступа к электронным ресурсам);
10.11.2. создает условия для хранения документов с персональными данными в ограниченном доступе;
10.11.3. организует порядок уничтожения информации с персональными данными, если законодательством не установлены требования по их хранению;
10.11.4. контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой (посредством внутренних проверок, установки специальных средств мониторинга и др.);
10.11.5. проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности и применением других мер;
10.11.6. внедряет программные и технические средства защиты информации в электронном виде;
10.11.7. обеспечивает возможность восстановления персональных данных, измененных или уничтоженных в результате несанкционированного доступа.
10.12. Для защиты персональных данных при их обработке в информационных системах организация проводит следующие мероприятия (включая, но не ограничиваясь):
10.12.1. определение угроз безопасности персональных данных в процессе их обработки;
10.12.2. применение организационных и технических мер для обеспечения безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите данных;
10.12.3. учет машинных носителей с персональными данными;
10.12.4. выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
10.12.5. восстановление персональных данных, измененных или уничтоженных в результате несанкционированного доступа;
10.12.6. установление правил доступа к персональным данным, обрабатываемым в информационной системе.
10.13. В организации назначены лица, ответственные за организацию обработки персональных данных. Все сотрудники и уполномоченные лица, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны соблюдать требования внутренних актов организации о конфиденциальности и законодательства Республики Беларусь, включая Закон Республики Беларусь «О защите персональных данных».
10.14. В организации могут приниматься дополнительные меры, направленные на обеспечение выполнения обязательств в области персональных данных, предусмотренных действующим законодательством Республики Беларусь.
ГЛАВА 11
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
11.2. Работники организации, допущенные к обработке персональных данных, за разглашение информации, полученной в ходе своей трудовой деятельности, несут дисциплинарную, административную или уголовную ответственность согласно действующему законодательству Республики Беларусь.
11.3. Оператор вправе вносить изменения в настоящую Политику в одностороннем порядке без предварительного согласования и уведомления субъекта персональных данных, с обязательным размещением обновленной политики на сайте оператора.
11.4. Отсутствие контроля со стороны организации за надлежащим исполнением работником своих обязанностей по обеспечению конфиденциальности и безопасности персональных данных не освобождает работника от этих обязанностей и предусмотренной законодательством Республики Беларусь ответственности.
11.5. Вопросы, касающиеся обработки персональных данных, которые не охвачены настоящей Политикой, регулируются законодательством Республики Беларусь.
