Политика по обработке персональных данных

1.1. Настоящая Политика по обработке персональных данных (далее – Политика) разработана в соответствии с Конституцией Республики Беларусь, Трудовым кодексом Республики Беларусь, Гражданским кодексом Республики Беларусь, Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон), а также иными нормативными правовыми актами Республики Беларусь и разъяснениями Национального центра защиты персональных данных.

1.2. Политика разъясняет субъектам персональных данных, как, для каких целей и на каком правовом основании Общество с ограниченной ответственностью «ДаймондПроТеч» (далее – Оператор) собирает, использует и иным образом обрабатывает персональные данные, а также описывает права субъектов персональных данных и механизм их реализации.

1.3. Политика действует в отношении всех процессов обработки персональных данных у Оператора, включая:

• обработку персональных данных работников, бывших работников и их родственников;
• обработку персональных данных заказчиков и контрагентов;
• обработку персональных данных пользователей сайта Оператора и лиц, обращающихся к Оператору с использованием средств связи и (или) онлайн-форм.

1.4. Оператор осуществляет обработку только тех персональных данных, которые необходимы для достижения конкретных, заранее определённых и законных целей, установленных в Приложении к настоящей Политике.

1.5. Для целей Политики используются понятия и определения, установленные Законом, в том числе:

• «Оператор» – Общество с ограниченной ответственностью «ДаймондПроТеч»;
• «персональные данные» – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу;
• «обработка персональных данных» – любое действие (операция) с персональными данными, в том числе сбор, систематизация, хранение, изменение, использование, распространение, обезличивание, блокирование, удаление;
• «субъект персональных данных» – физическое лицо, к которому относятся персональные данные;
• «Сайт Оператора» – интернет-ресурс, принадлежащий Оператору и расположенный по адресу: https://orionavto.by.

1.6. Категории субъектов персональных данных, чьи данные обрабатываются Оператором:

• работники, бывшие работники и их родственники;
• заказчики – физические лица, в том числе индивидуальные предприниматели, а также представители юридических лиц;
• контрагенты – индивидуальные предприниматели и представители юридических лиц;
• пользователи Сайта Оператора;
• иные лица, персональные данные которых обрабатываются Оператором в связи с осуществлением деятельности.

1.7. Юридический адрес Оператора: 220024, Республика Беларусь, г. Минск, ул. Лейтенанта Кижеватого, д. 8, пом. 1; адрес электронной почты для вопросов, связанных с обработкой персональных данных: info@orionavto.by.

1.8. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (далее – ответственное лицо), назначается Оператором приказом директора. К ответственному лицу можно обратиться по юридическому адресу Оператора либо по адресу электронной почты info@orionavto.by.

1.9. При приёме на работу и в ходе трудовой деятельности работники Оператора знакомятся с настоящей Политикой под подпись.

2.1. Оператор определяет цели обработки персональных данных, категории субъектов персональных данных, перечень обрабатываемых персональных данных, правовые основания и сроки их обработки (хранения) в Приложении к настоящей Политике. Приложение является неотъемлемой частью Политики и подлежит актуализации при изменении процессов обработки персональных данных.

2.2. Обработка персональных данных у Оператора осуществляется как с использованием средств автоматизации, так и без их использования (смешанная обработка).

2.3. Оператор обрабатывает персональные данные на основании:

• согласия субъекта персональных данных на обработку его персональных данных;
• необходимости заключения и исполнения договора, стороной или выгодоприобретателем по которому является субъект персональных данных;
• необходимости исполнения обязанностей Оператора, предусмотренных законодательством Республики Беларусь;
• иных правовых оснований, предусмотренных Законом и иными законодательными актами Республики Беларусь.

2.4. Обработка персональных данных пользователей Сайта Оператора осуществляется, в частности, в следующих целях (конкретизированы в Приложении):

• предоставление информации о товарах и услугах;
• оформление и сопровождение заказов, заключение и исполнение договоров;
• обработка обращений и запросов через формы на Сайте и иными каналами связи;
• отправка информационных и (при наличии согласия) маркетинговых сообщений;
• ведение статистики посещений и улучшение работы Сайта.

2.5. Обработка персональных данных осуществляется с соблюдением принципов, установленных Законом, в том числе: законности, добросовестности, соразмерности и минимизации обрабатываемых данных. Оператор не допускает обработку персональных данных «на всякий случай» и сверх необходимого для заявленных целей.

2.6. Файлы cookie и иные идентификаторы

2.6.1. При посещении Сайта Оператора может осуществляться обработка файлов cookie и иных аналогичных технологий (web-beacons, пиксельные теги и т.п.), которые используются для:

• обеспечения корректной работы Сайта (технически необходимые cookie);
• сохранения настроек пользователей и персонализации интерфейса;
• получения статистической информации об использовании Сайта;
• (при необходимости) проведения маркетинговых и рекламных кампаний.

2.6.2. При обработке cookie могут обрабатываться, в частности, следующие данные: IP-адрес устройства, данные об используемом браузере, операционной системе, настройках языка, посещённых страницах, действиях на Сайте, дате и времени доступа.

2.6.3. Обработка технически необходимых файлов cookie осуществляется на основании необходимости обеспечения функционирования Сайта и предоставления пользователю запрашиваемых услуг (абзац двадцатый статьи 6 Закона). Обработка аналитических и маркетинговых cookie (если используется) осуществляется на основании согласия субъекта персональных данных.

2.6.4. При первом посещении Сайта пользователю может быть показано всплывающее окно (баннер) с предложением настроить использование файлов cookie, включая возможность дать согласие на обработку аналитических и (или) маркетинговых cookie либо отказаться от их использования. Пользователь может в любой момент изменить выбранные настройки в интерфейсе cookie-баннера либо через настройки браузера.

2.6.5. Пользователь может ограничить или отключить обработку cookie в параметрах своего браузера, однако это может повлиять на доступность и корректность работы отдельных функций Сайта.

2.7. Хранение и уничтожение (удаление) персональных данных

2.7.1. Персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иные сроки не установлены законодательством Республики Беларусь или не указаны в Приложении к настоящей Политике.

2.7.2. Документы на бумажных носителях, содержащие персональные данные, хранятся по юридическому адресу Оператора в сейфах и закрытых шкафах, обеспечивающих защиту от несанкционированного доступа. Бумажные носители, обрабатываемые в разных целях, хранятся раздельно.

2.7.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с использованием комплекса организационных и технических мер, включая:

• использование актуального антивирусного программного обеспечения;
• применение средств разграничения доступа и аутентификации (уникальные логины и пароли для работников, смена паролей не реже одного раза в 6 месяцев);
• использование локальных информационных хранилищ и информационных систем, определённых Оператором;
• запрет внесистемного хранения персональных данных на несанкционированных носителях.

2.7.4. При достижении целей обработки, утрате необходимости в их достижении, истечении сроков обработки или при выявлении неправомерной обработки персональных данных Оператор обеспечивает их уничтожение или обезличивание, если иное не предусмотрено законодательством Республики Беларусь.

2.7.5. Уничтожение бумажных носителей, содержащих персональные данные, осуществляется таким образом, чтобы исключить возможность восстановления содержащихся на них сведений (в том числе путём измельчения с последующей передачей организации по заготовке вторсырья). Уничтожение электронных носителей производится путём удаления информации или физического уничтожения носителя при необходимости.

2.7.6. Факт уничтожения (удаления) персональных данных оформляется актами (акт о выделении к уничтожению, акт об удалении персональных данных), подписываемыми комиссией, назначенной приказом директора Оператора.

2.8. Сроки обработки персональных данных

2.8.1. Сроки обработки персональных данных устанавливаются Оператором применительно к каждой цели обработки и указанным в Приложении категориям субъектов персональных данных.

2.8.2. Оператор прекращает обработку персональных данных в случаях:

• достижения цели обработки либо утраты необходимости в её достижении;
• истечения установленного срока обработки персональных данных;
• выявления неправомерной обработки персональных данных;
• прекращения деятельности Оператора, если иное не предусмотрено законодательством.

2.8.3. При изменении требований законодательства Республики Беларусь Оператор вправе в одностороннем порядке актуализировать сроки обработки персональных данных, отражая изменения в Приложении к настоящей Политике.

2.9. Трансграничная передача персональных данных

2.9.1. На дату утверждения настоящей Политики Оператор не осуществляет трансграничную передачу персональных данных при их обработке, если иное не указано в Приложении к Политике.

2.9.2. В случае начала использования сервисов и (или) привлечения контрагентов, предполагающих трансграничную передачу персональных данных, Оператор предварительно обеспечивает соблюдение требований Закона, в том числе по выбору государств, обеспечивающих надлежащую защиту прав субъектов персональных данных, либо по информированию субъектов персональных данных о возможных рисках и основаниях такой передачи.

3.1. Субъект персональных данных имеет права, предусмотренные Законом, в том числе право:

• получить информацию о своих персональных данных и их обработке;
• требовать внесения изменений в свои персональные данные при их неполноте, устаревании или недостоверности;
• отозвать согласие на обработку персональных данных;
• требовать прекращения обработки персональных данных и (или) их удаления при отсутствии оснований для обработки;
• получать информацию о предоставлении своих персональных данных третьим лицам;
• обжаловать действия (бездействие) и решения Оператора, связанные с обработкой персональных данных.

3.2. Для реализации прав, указанных в пункте 3.1 настоящей Политики, субъект персональных данных может направить письменное заявление по юридическому адресу Оператора. Заявление должно содержать:

• фамилию, собственное имя, отчество (при наличии) субъекта персональных данных;
• адрес места жительства (места пребывания);
• изложение сути требования;
• личную подпись либо иную предусмотренную законодательством электронную подпись.

3.3. Оператор также предоставляет возможность направить заявление в электронной форме, в том числе через формы обратной связи на Сайте или на адрес электронной почты info@orionavto.by. В этих случаях Оператор вправе запросить дополнительные сведения для подтверждения личности заявителя.

3.4. Оператор рассматривает заявления субъектов персональных данных в сроки, установленные Законом и законодательством об обращениях граждан и юридических лиц, и уведомляет субъект персональных данных о результатах рассмотрения.

3.5. Субъект персональных данных вправе обратиться с жалобой на действия (бездействие) Оператора в Национальный центр защиты персональных данных Республики Беларусь в порядке, установленном законодательством.

4.1. Оператор имеет право:

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей в сфере защиты персональных данных;
• получать от субъектов персональных данных достоверные сведения и (или) документы, содержащие персональные данные, в объёме, необходимом для заявленных целей обработки;
• поручать обработку персональных данных уполномоченным лицам на основании договоров в соответствии с Законом;
• отказывать субъекту персональных данных в удовлетворении требований о прекращении обработки и (или) удалении персональных данных при наличии предусмотренных законодательством оснований для их обработки, с уведомлением субъекта персональных данных.

4.2. Оператор обязан:

• обрабатывать персональные данные в соответствии с законодательством Республики Беларусь;
• разъяснять субъектам персональных данных их права, связанные с обработкой персональных данных, и обеспечивать механизм их реализации;
• получать согласие субъекта персональных данных в случаях, предусмотренных Законом;
• обеспечивать безопасность персональных данных в процессе их обработки;
• рассматривать обращения субъектов персональных данных в установленном порядке и срок;
• прекращать обработку персональных данных, а также удалять или блокировать их при отсутствии оснований для обработки;
• выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.

5.1. Оператор применяет комплекс организационных и технических мер по защите персональных данных в соответствии со статьёй 17 Закона, с учётом характера обрабатываемых персональных данных и связанных с их обработкой рисков.

5.2. К таким мерам относятся, в частности:

• ограничение круга работников, имеющих доступ к персональным данным;
• назначение ответственного лица за внутренний контроль за обработкой персональных данных;
• ознакомление работников, допущенных к обработке персональных данных, с требованиями законодательства и локальными актами Оператора;
• организация хранения бумажных и электронных носителей, содержащих персональные данные, с предотвращением несанкционированного доступа;
• защита информационных систем с помощью технических и программных средств (антивирусное ПО, средства контроля доступа, резервного копирования и т.п.).

5.3. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, обязаны:

• соблюдать установленные Оператором правила хранения и использования материальных носителей;
• обеспечивать сохранность персональных данных и предотвращать доступ к ним посторонних лиц;
• сообщать ответственному лицу о случаях утраты или неправомерного доступа к персональным данным.

5.4. Передача логинов, паролей и иных средств доступа к информационным системам Оператора третьим лицам запрещена. Для каждого работника устанавливаются уникальные учетные данные.

5.5. Перечень работников, имеющих доступ к персональным данным, а также порядок предоставления, изменения и отзыва прав доступа определяются локальными актами Оператора.

6.1. Оператор вправе поручать обработку персональных данных уполномоченным лицам на основании договоров, заключаемых в соответствии с законодательством Республики Беларусь.

6.2. К уполномоченным лицам Оператора могут относиться, в частности:

• организации, оказывающие услуги по ведению бухгалтерского и налогового учёта;
• организации, оказывающие услуги по доставке товаров (курьерские службы, почтовые операторы);
• организации, оказывающие услуги по технической поддержке, сопровождению и хостингу Сайта и информационных систем Оператора (при их привлечении).

6.3. В договорах с уполномоченными лицами Оператор определяет:

• цели и объём обработки персональных данных;
• перечень действий с персональными данными, которые вправе совершать уполномоченное лицо;
• требования к соблюдению конфиденциальности и безопасности персональных данных;
• обязанности уполномоченного лица по выполнению мер защиты персональных данных.

6.4. Уполномоченное лицо обрабатывает персональные данные только в целях и объёме, определённых Оператором, и не вправе использовать персональные данные в собственных целях.

6.5. Ответственность перед субъектом персональных данных за действия уполномоченного лица несёт Оператор, если иное не предусмотрено законодательством. Уполномоченное лицо несёт ответственность перед Оператором в пределах заключённого договора.

7.1. Вопросы, связанные с обработкой персональных данных и не урегулированные настоящей Политикой, регулируются законодательством Республики Беларусь.

7.2. Если какое-либо положение Политики признаётся противоречащим законодательству Республики Беларусь, это не влияет на действительность остальных положений. Такое положение подлежит изменению Оператором в объёме, необходимом для приведения его в соответствие с законодательством.

7.3. Оператор вправе в любое время изменять и (или) дополнять настоящую Политику в случае изменения процессов обработки персональных данных, требований законодательства Республики Беларусь или рекомендаций уполномоченных органов. Актуальная редакция Политики размещается на Сайте Оператора.