Глава 1 — ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящее Положение в отношении обработки персональных данных (далее – Положение) является основополагающим документом Общества с ограниченной ответственность «ТЕРМОТЕХНИК-СЕРВИС» (далее – Общество), расположенного по адресу: 220113, Республика Беларусь, г. Минск, ул. Мележа, д. 1, пом. 205, ком.3, определяющим принципы, цели, способы основания, условия и порядок обработки Обществом персональных данных.
- Настоящая Положение разработано в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», иными нормативными правовыми актами Республики Беларусь в целях обеспечения надлежащей защиты персональных данных, а также прав и законных интересов физических лиц при обработке Обществом персональных данных указанных лиц.
- Положения настоящего Положения являются правовой основой для разработки локальных правовых актов Общества, регламентирующих вопросы обработки и защиты персональных данных, обрабатываемых Обществом.
- В настоящем Положении используются следующие основные термины и их определения:
- обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- согласие на обработку персональных данных – свободное, однозначное, информированное выражение воли субъекта персональных данных, посредством которого он разрешает Обществу обработку своих персональных данных;
- персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
- потребитель – физическое лицо, имеющие намерение заказать или приобрести либо заказывающее, приобретающее товар (работу, услугу) или использующее товар (результат работы, услугу) Общества;
- предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
- распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
- субъект персональных данных – физическое лицо, персональные данные которого обрабатываются;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
- уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с законодательством или на основании договора с Обществом осуществляют обработку персональных данных от имени Общества и в его интересах;
- физическое лицо, которое может быть идентифицировано, — физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
- Настоящая Положение является публичным документом, предназначенным для ознакомления неограниченного круга лиц посредством ее размещения в глобальной компьютерной сети Интернет на официальном сайте (-ах) Общества.
- Настоящая Положение вступает в силу с момента его утверждения и действует без ограничения его срока до его изменения и (или) отмены Обществом.
Глава 2 — ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общество осуществляет обработку персональных данных, руководствуясь следующими основными принципами:
обработка персональных данных должна осуществляться Обществом в строгом соответствии с требованиями законодательства Республики Беларусь;
обработка персональных данных должна быть соразмерна заявленным Обществом целям их обработки, а также обеспечивать справедливое соотношение интересов всех заинтересованных лиц;
обработка персональных данных должна осуществляться Обществом с согласия субъекта персональных данных или при наличии иных законных оснований, установленных законодательством Республики Беларусь;
содержание и объем персональных данных должны соответствовать заявленным целям их обработки, не допустима обработка персональных данных несовместимая с заявленными целями их обработки;
обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным Обществом целям их обработки;
хранение персональных данных должно осуществляться Обществом в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
обработка персональных данных должна носить открытый и прозрачный характер.
Глава 3 — ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка персональных данных осуществляется Обществом на основании согласия субъекта персональных данных, полученных в письменной форме, в виде электронного документа или в иной электронной форме (в том числе посредством проставления субъектом персональных данных отметки на интернет-ресурсе Общества), либо по иным основаниям, предусмотренным законодательством.
- Наименование и место нахождение Общества, перечень и цели обработки персональных данных, перечень действий с персональными данными, информация об уполномоченных лицах, срок согласия и иная информация, необходимая для обеспечения прозрачности процесса обработки Обществом персональных данных определяются настоящим Положением.
- Предоставляя свое согласие на обработку персональных данных в установленной форме субъект персональных данных дает разрешение Обществу на использование своих персональных данных в соответствии с целями, на условиях и в порядке, содержащихся в настоящем Положении. Согласие субъекта персональных данных дается на неопределенный срок. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в порядке, предусмотренным настоящим Положением.
- Информация о правах субъекта персональных данных, связанных с обработкой персональных данных, механизм реализации таких прав, а также последствия предоставления согласия субъектом персональных данных или отказа в даче такого согласия представлена в главе 8 настоящего Положения.
- Общество обрабатывает персональные данные без согласия субъектов персональных данных по основаниям, предусмотренным законодательством:
при оформлении трудовых отношений, а также в процессе трудовой деятельности субъектов персональных данных;
при получении персональных данных Обществом на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованным Обществу и подписанным субъектом персональных данных, в соответствии с содержанием такого документа;
в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей, предусмотренных законодательством
в иных случаях, предусмотренных законодательством.
- В случае обработки Обществом персональных данных без согласия субъекта персональных данных цели обработки персональных данных определяются в соответствии законодательством.
Глава 4 — МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных в процессе их обработки от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- В целях защиты персональных данных Обществом утверждена настоящее Положение, а также иные локальные нормативные правовые акты Общества, назначены ответственные лица за внутренний контроль за обработкой персональных данных, ответственные лица за техническую безопасность информации, установлен порядок доступа к персональным данным субъектов персональных данных, осуществляется техническая и криптографическая защита персональных данных.
- Работники Общества, осуществляющие непосредственную обработку персональных данных, подлежат ознакомлению с настоящим Положением и требованиями законодательства о защите персональных данных. Работники Общества, осуществляющие обработку персональных данных, подписывают обязательства о неразглашении персональных данных. Общество принимает иные меры, направленные на защиту персональных данных в процессе их обработки.
Глава 5 — КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:
аффилированные лица Общества;
члены органов управления Общества;
кандидаты на работу в Обществе;
работники (бывшие работники) Общества;
лица, с которыми Обществом заключены договоры;
заявители, подавшие (подающие) обращения в Общество;
потребители товаров (работ, услуг) Общества;
лица, участвующие в рекламных, маркетинговых акциях, а также иных мероприятиях, осуществляемых Обществом;
представители юридических лиц и иных организаций, с которыми Общество взаимодействует в процессе осуществления свой деятельности;
посетители объектов Общества;
пользователи веб-сайтов Общества;
иные лица, персональные данные которых обрабатываются Обществом с согласия таких лиц либо на ином основании, предусмотренным законодательством.
- Общество обеспечивает соответствие содержания и объема обрабатываемых персональных данных целям их обработки, заявленных в настоящем Положении, или определенных в соответствии с законодательством.
- В зависимости от целей обработки персональных данных и субъектов персональных данных Общество обрабатывает следующие персональные данные:
фамилия, имя, отчество;
пол;
число, месяц, год рождения;
данные о регистрации по месту проживания и (или) пребывания;
идентификационный номер;
род занятий;
сведения о месте работы;
должность;
фото и видео изображение;
номер телефона;
адрес электронной почты;
другие сведения, определенные законодательством в качестве основных и дополнительных персональных данных;
иные персональные данные в зависимости от целей обработки персональных данных, заявленных в настоящем Положении или установленных законодательством.
- Общество не осуществляет обработку персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных убеждений, а также половой жизни. Специальные персональные данные обрабатываются Обществом исключительно в соответствии с целями, заявленными в настоящем Положении или установленных законодательством.
Глава 6 — ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ, УПОЛНОМОЧЕННЫЕ ЛИЦА
- Общество обрабатывает персональные данные с использованием средств автоматизации, а также без использования средств автоматизации. Общество совершает следующие действия по обработке персональных данных: сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, предоставление, распространение, удаление персональных данных и иные действия в соответствии с законодательством.
22. Общество может предоставлять (передавать) персональные данные третьим лицам с соблюдением требований законодательства для достижения целей, заявленных Обществом в настоящем Положении или определённых законодательством. Предоставление персональных данных Обществом третьим лицам осуществляется с обязательным заключением соглашений, направленных на обеспечение конфиденциальности персональных данных.
23. Персональные данные могут обрабатываться от имени в интересах и по поручению Общества уполномоченными лицами Общества, в том числе физическими и юридическими лицами, осуществляющими доставку товаров Общества, лицами, заключившими с Обществом договор франчайзинга, подрядчиками, исполнителями и иными контрагентами Общества.
Обработка персональных данных уполномоченными лицами осуществляется на основании договоров, предусматривающих цели обработки персональных данных, перечень действий с персональными данными, обязанности уполномоченных лиц по соблюдению конфиденциальности персональных данных, меры по обеспечению персональных данных. В случае, если Общество поручает обработку персональных данных субъектов персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия уполномоченного лица несет Общество.
24. Общество осуществляет трансграничную передачу данных с соблюдением, установленных законодательством требований. Общество принимает необходимые меры безопасности по защите персональных данных в случае трансграничной передачи персональных данных. Несмотря на это, трансграничная передача персональных данных может влечь для субъекта персональных данных, предоставившего согласие Обществу на обработку своих персональных данных, риски, возникающие в связи с отсутствием надлежащего уровня их правовой защиты за пределами Республики Беларусь.
25. Общество прекращает обработку персональных данных в случае достижения целей обработки персональных данных, отзыва согласия или требования о прекращении обработки персональных данных субъекта персональных данных, отсутствия основания для обработки персональных данных, а также в иных случаях, предусмотренных законодательством о защите персональных данных.
Глава 7 — ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общество обрабатывает персональные данные субъектов персональных данных в целях:
-обеспечения соблюдения требований законодательных и иных нормативных правовых актов Республики Беларусь, исполнения требований Устава, локальных нормативных правовых актов Общества, решений органов управления Общества;
исполнения обязанностей, возложенных законодательством на Общество, включая ведение кадрового, бухгалтерского и иного учета, составление налоговой, бухгалтерской, статистической и иных форм обязательной отчетности Общества;
-исполнение обязанностей Общества по предоставлению персональных данных в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, государственные органы, а также иные организации;
-предоставления корпоративной отчетности и иных сведений участникам Общества (лицам, имеющим долю косвенного участия в уставном фонде Общества) о деятельности Общества, а также совершения иных действий, необходимых для реализации указанными лицами прав, связанных с участием в Обществе;
-оформления трудовых отношений, реализации прав и исполнения обязанностей Общества как нанимателя, вытекающих из трудовых и связанных с ними отношений, привлечения физических лиц для выполнения работ и (или) оказания услуг на основании гражданско-правовых договоров;
-поиска, подбора и оценки кандидатов на работу в Общество, а также совершения иных действий, предшествующих приему на работу в Общество, ведения кадрового резерва, подготовки справочной и аналитической информации;
-оценки выполняемой работниками работы, контроля надлежащего исполнения работниками трудовых обязанностей, приказов и распоряжений руководства Общества, требований локальных-нормативных правовых актов Общества;
-осуществления мероприятий по адаптации, обучению, развитию, мотивации, оценке персонала, визовой поддержке, добровольного медицинского страхования, организации корпоративных мероприятий, совершению иных подобных действий;
-обеспечения коммуникаций с субъектами персональных данных, включая внутрикорпоративные коммуникации и внешние коммуникации с клиентами, контрагентами, потребителями, представителями организаций и иными лицами;
-обеспечения пропускного и внутриобъектового режимов в зданиях, помещениях и иных объектах Общества, охраны имущества Общества, обеспечения защиты жизни и здоровья работников Общества, потребителей, посетителей и др.;
-осуществления прав и законных интересов Общества при осуществлении предпринимательской, хозяйственной и иной деятельности Общества,
осуществления торговли строительными материалами и инструментами, товарами для дома и иными товарами, выполнения работ, оказания услуг Обществом;
-заключения, изменения и прекращения Обществом гражданско-правовых договоров (сделок), исполнения обязательств по договорам, учета таких договоров, формирования и использования базы данных контрагентов, их представителей;
-осуществления Обществом мероприятий, направленных на повышение качества обслуживания клиентов, потребителей, посетителей, пользователей веб-сайтов Общества, реализации партнерских программ с банками и иными лицами;
-осуществления Обществом рекламных, маркетинговых и иных подобных мероприятий, включая реализацию программ лояльности Общества, в том числе проведения опросов, статистических и маркетинговых исследований, использования полученных данных и т.п.;
-информирования потребителей, а также иных лиц о товарах, работах, услугах Общества, проводимых акциях и иных мероприятиях (рекламная рассылка);
-формирования статистической и аналитической информации о деятельности Общества, обработки обращений субъектов персональных данных;
-совершения иных действий, не противоречащих законодательству.
Глава 8 — ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Субъект персональных данных имеет следующие основные права:
-право на отзыв своего согласия на обработку персональных данных;
-право на получение информации, касающейся обработки своих персональных данных;
-право на изменение своих персональных данных;
-право на получение информации о предоставлении своих персональных данных третьим лицам;
-право требовать прекращения обработки своих персональных данных и (или) их удаления;
-право на обжалование действий (бездействия) и решений Общества, связанных с обработкой своих персональных данных.
28. Субъект персональных данных вправе в любое время отказаться от своего согласия на обработку персональных данных посредством подачи Обществу заявления в порядке, установленном в настоящим Положением и законодательством. В данном случае обработка персональных данных прекращается, а персональные данные удаляются, если отсутствуют иные законные основания для их обработки, в срок не позднее 15 дней с момента получения Обществом заявления.
29. Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей: наименование и местонахождение Общества и уполномоченных лиц, осуществляющих обработку его персональных данных, подтверждения факта обработки персональных данных Обществом (уполномоченным лицом), свои персональных данные и источник получения, срок согласия, иную информацию, предусмотренную законодательством. Указанная информация предоставляется субъекту персональных данных в срок не позднее 5 рабочих дней с момента получения соответствующего заявления.
30. Субъект персональных данных вправе требовать об Общества внесений изменений в свои персональных данные в случае, если его персональные данные являются неполными, устаревшими или неточными. В этом случае изменения в персональные данные субъекта персональных данных вносятся Обществом в срок не позднее 15 дней с момента получения соответствующего заявления.
31. Субъект персональных данных вправе получать от Общества информацию о предоставлении своих персональных данных третьим лицам. Указанная информация предоставляется субъекту персональных данных в срок не позднее 15 дней с момента получения Обществом соответствующего заявления.
32. Субъект персональных данных вправе требовать от Общества прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством. В этом случае Общество прекращает обработку персональных данных и удаляет их в срок не позднее 15 дней с момента получения соответствующего заявления от субъекта персональных данных.
33. Субъект персональных данных для реализации своих прав, указанных в пунктах 28-32 настоящего Положения, подает Обществу заявление в письменной форме либо в виде электронного документа. Заявление субъекта персональных данных должно содержать:
фамилию, имя, отчество; дату рождения; идентификационный номер, в случае если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка данных осуществляется без согласия субъекта персональных данных;
изложение сути требований;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
34. Субъект персональных данных вправе обжаловать действия (бездействие) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (учреждение «Национальный центр по защите персональных данных») в порядке, установленном законодательством об обращениях граждан и юридических лиц. Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленным законодательством.
35. Правовым последствием предоставления субъектом персональных данных согласия на обработку своих персональных данных является возникновение у Общества права на обработку персональных данных лица, предоставившего согласие, в соответствии с целями, способами, объеме, порядком и условиями, предусмотренными в настоящем Положении. В случае отказа субъекта персональных данных от предоставления Обществу согласия на обработку персональных данных Общество не вправе обрабатывать его персональные данные, если не имеется иных оснований, предусмотренных законодательством о защите персональных данных.
Глава 9 — ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
- Вопросы, касающиеся обработки персональных данных, не отраженные в настоящем Положении, регулируются законодательством о защите персональных данных, иными локальными правовыми актами Общества. В случае если какое-либо положение настоящего Положения противоречит законодательству, остальные положения Политики остаются в силе и являются действительными.
37. Общество имеет право по своему усмотрению изменять и (или) дополнять условия настоящего Положения без предварительного и (или) последующего уведомления субъектов персональных данных. Действующая редакция Положения доступна в открытом доступе в глобальной компьютерной сети Интернет на официальном сайте (-ах) Общества.