Политика обработки персональных данных ООО «Мир Цвета»

1. Общие положения

1.1. Политика обработки персональных данных ООО «Мир Цвета» (далее по тексту – Предприятие) разработана для обеспечения безопасности и защиты личной информации лиц, не являющихся его работниками, включая порядок сбора, хранения, использования, передачи и защиты персональных данных.

1.2. Настоящая Политика является локальным правовым актом Предприятия, обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящей Политикой.

1.3. Настоящая Политика разработана на основе и во исполнение:
— Конституции Республики Беларусь;
— Трудового кодекса Республики Беларусь;
— Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных);
— Закона Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
— Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
— иных нормативных правовых актов Республики Беларусь.

1.4. Предприятие стремится к прозрачности в обработке данных и гарантирует, что вся предоставленная информация будет использоваться исключительно в соответствии с действующим законодательством Республики Беларусь и международными стандартами защиты персональных данных.

2. Категории субъектов персональных данных. Цели обработки персональных данных

2.1. Предприятие обрабатывает персональные данные следующих категорий субъектов:
— контрагентов — физических лиц;
— потребителей;
— родственников работников;
— кандидатов на рабочие места;
— работников и иных представителей Предприятия;
— работников и иных представителей контрагентов — юридических лиц;
— иных субъектов, взаимодействие которых с Оператором создает необходимость обработки персональных данных.

2.2. Обработка персональных данных субъектов персональных данных осуществляется в следующих целях:
— осуществление и выполнение функций, полномочий и обязанностей, возложенных на Предприятие законодательством Республики Беларусь;
— обработка и выполнение заказов;
— связь с субъектами персональных данных по вопросам связанным с заказами или трудоустройством, в том числе уведомления о статусе заказа и т.п.;
— улучшение качества обслуживания и пользовательского опыта;
— проведение маркетинговых исследований и анализ потребительских предпочтений;
— ведение переговоров, заключение и исполнение договоров;
— реклама и продвижение продукции, в том числе представление информации о продукции Предприятия;
— обработка обращений с претензиями и информацией по безопасности товаров;
— обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
— оформление доверенностей и иных уполномочивающих документов;
— проверка контрагента;
— рассмотрение возможности трудоустройства кандидатов;
— проверка кандидатов (в том числе их квалификации и опыта работы);
— проведение мероприятий и обеспечение участия в них субъектов персональных данных;
— исполнение обязанности налогового агента;
— предоставление родственникам работников льгот и компенсаций;
— иные цели, направленные на обеспечение соблюдения трудовых договоров, законов и иных нормативных правовых актов.

2.3. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность об этом субъекта персональных данных и в случае необходимости получить новое согласие на обработку.

2.4. Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.

2.5. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.

3. Содержание и объём персональных данных

3.1. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Предприятия реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.

3.2. Персональные данные контрагентов — физических лиц включают:
-фамилию, имя, отчество;
-гражданство;
-паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
-сведения о регистрации по месту жительства (включая адрес, дату регистрации);
контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
-иные данные, необходимые для исполнения взаимных прав и обязанностей между Предприятием и контрагентом.

3.3. Персональные данные потребителей включают:
-фамилию, имя, отчество;
-контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
-дату рождения;
-пол;
-иные данные, необходимые для регистрации и анализа обращения.

3.4. Персональные данные работников и иных представителей контрагентов — юридических лиц включают:
-фамилию, имя, отчество;
-контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.);
-должность;
-иные данные, необходимые для исполнения взаимных прав и обязанностей между Предприятием и контрагентом.

3.5. Персональные данные кандидатов на рабочие места включают:
— фамилию, имя, отчество (а также все предыдущие фамилии);
— дату и место рождения;
— гражданство;
— паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
— данные свидетельства о рождении (номер, дата выдачи, наименование органа, выдавшего документ, и др.) (при необходимости);
-пол;
-сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
-сведения о регистрации по месту жительства (включая адрес, дату регистрации);
-сведения о месте фактического проживания;
-номер и серию страхового свидетельства государственного социального страхования;
-данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
-идентификационный номер налогоплательщика;
-сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
-специальность, профессию, квалификацию;
-сведения о воинском учете;
-сведения медицинского характера (в случаях, предусмотренных законодательством);
-биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
-сведения о социальных льготах и выплатах;
-контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
-сведения, предоставленные самим кандидатом в ходе заполнения личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
-иные данные, которые могут быть указаны в резюме или анкете кандидата.

3.6. Предприятие собирает личные данные, которые предоставляются при оформлении заказа, регистрации на сайте, подписке на рассылку или предоставлении ответа на запрос через онлайн-форму.

4. Принципы обработки персональных данных

4.1. Обработка персональных данных субъектов основывается на следующих принципах:
а) обработка персональных данных осуществляется в соответствии с Законом о защите персональных данных и иными актами законодательства;
б) обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
в) обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
г) обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
д) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
е) обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
ж) Оператор обязан принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
з) хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

5. Правила обработки персональных данных

5.1. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и сети Интернет.

5.2. В случаях, установленных законодательством Республики Беларусь, основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных, в том числе в письменной форме.

5.3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:
а) фамилию, собственное имя, отчество (если таковое имеется);
б) дату рождения;
в) идентификационный номер, а в случае отсутствия такого номера — номер документа, удостоверяющего его личность;
г) подпись субъекта персональных данных. Если цели обработки персональных данных не требуют обработки информации, эта информация не подлежит обработке Оператором при получении согласия субъекта персональных данных.

5.4. Согласие субъекта персональных данных на обработку его персональных данных не требуется в случаях, прямо предусмотренных законодательством.

6. Использование и хранение персональных данных

6.1. Персональные данные обрабатываются и используются для целей, указанных в настоящей Политике.

6.2. Доступ к персональным данным предоставляется только тем работникам Предприятия, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. Перечень таких лиц определяется Предприятием.

6.3. В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора или иного лица, уполномоченного на это директором. Соответствующие работники должны быть ознакомлены под подпись со всеми локальными правовыми актами Предприятия в области персональных данных, а также должны подписать обязательство неразглашения персональных данных.

6.4. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.

6.5. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.

6.6. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Предприятием информационных систем и специально обозначенных Предприятием баз данных (внесистемное хранение персональных данных) не допускается.

6.7. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.8. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

6.9. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе.

6.10. Срок использования и хранения персональных данных — 1 год с момента последней коммуникации.

7. Передача персональных данных

7.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

7.2. Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.

7.3. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

8. Политика в отношении файлов cookie

8.1. Cookie – это текстовый файл, хранящийся в браузере для правильного функционирования сайта Предприятия и корректного использования предлагаемых на нем возможностей и услуг.

8.2. Предприятие использует необходимые аналитические, статистические, функциональные и рекламные файлы cookie.

9. Права и обязанности субъекта персональных данных

9.1. Субъект персональных данных вправе:
а) в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном ст. 14 Закона о защите персональных данных, либо в форме, посредством которой получено его согласие;
б) получить информацию, касающуюся обработки своих персональных данных, содержащую:
наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) Оператора;
подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие;
наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством;
в) требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает Оператору заявление в порядке, установленном ст. 14 Закона о защите персональных данных, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные;
г) получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами. Для получения указанной информации субъект персональных данных подает заявление Оператору. Заявление субъекта персональных данных должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера — номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных;
д) требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами. Для реализации указанного права субъект персональных данных подает Оператору заявление в порядке, установленном Законом о защите персональных данных;
е) обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

9.2. Субъект персональных данных обязан:
a) предоставлять Предприятию достоверные персональные данные;
б) своевременно сообщать Предприятию об изменениях и дополнениях своих персональных данных;
в) осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Предприятия в области обработки и защиты персональных данных;
г) исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Предприятия в области обработки и защиты персональных данных.

10. Права и обязанности предприятия

10.1. Предприятие вправе:
a) устанавливать правила обработки персональных данных на Предприятии, вносить изменения и дополнения в настоящее Положение, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;
б) осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Предприятия в области обработки и защиты персональных данных.

11. Действие Политики обработки персональных данных

11.1. Настоящая Политика вступает в силу с даты утверждения её директором Предприятия и действует до отмены новой.