1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) определяет деятельность Общества с ограниченной ответственностью "ЭдвайсПроф", зарегистрированного и находящегося по адресу: 224013, г. Брест, б-р Шевченко, д. 4, оф. 214 (далее Общество или Оператор) в отношении обработки персональных данных, в том числе лиц, не являющихся его работниками, включая порядок сбора, хранения, использования, передачи и защиты персональных данных.
1.2. Цель настоящей Политики – обеспечить гражданам права, конфиденциальность и защиту их персональных данных во исполнение Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон).
1.3. Настоящая Политика является локальным правовым актом ООО "ЭдвайсПроф", обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных.
1.4. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными посредством использования средств автоматизации или без их использования.
1.5. Настоящая Политика и изменения к ней утверждаются директором ООО «ЭдвайсПроф» и вступают в силу с момента их утверждения.
1.6. Политика Общества определяет:
- цели и правовые основания обработки персональных данных;
- категории субъектов персональных данных и объем обрабатываемых персональных данных;
- порядок и условия обработки персональных данных, в том числе срок хранения персональных данных;
- права и обязанности субъектов персональных данных;
- организационные и технические меры по обеспечению защиты персональных данных.
1.7. В настоящей Политике используются следующие термины и определения:
- обработка персональных данных – любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
- персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
- предоставление персональных данных – действия, направленные на ознакомление с персональными данными одного лица или определенного круга лиц;
- распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
- субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
- соискатели – лица, претендующие на трудоустройство в ООО «ЭдвайсПроф»;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
- удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
- физическое лицо, которое может быть идентифицировано – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
ГЛАВА 2
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В соответствии с данной Политикой Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
- участников Общества и аффилированных лиц Общества;
- работников, бывших работников Общества, соискателей на вакантные должности Общества;
- контрагентов и клиентов Общества – физических лиц;
- работников и иных представителей контрагентов (потенциальных контрагентов) – юридических лиц;
- посетителей интернет-ресурсов Общества;
- лиц, предоставивших Обществу персональные данные путем оформления подписки на рассылку информации, оформления отзывов и обращений, регистрации на участие в мероприятиях Общества, заполнения анкет в ходе рекламных акций.
- иных субъектов, взаимодействие которых с Обществом создает необходимость обработки персональных данных.
2.2. Оператор обрабатывает следующие персональные данные субъектов персональных данных:
- фамилия, имя и отчество (при его наличии);
- пол;
- дата рождения;
- гражданство;
- место регистрации и фактического проживания;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- номер страхового свидетельства государственного социального страхования;
- биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
- сведения о социальных льготах и выплатах;
- сведения о воинском учете;
- контактные данные: номер телефона (домашнего, личного и/или рабочего) адрес электронной почты;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- история запросов и просмотров на интернет-ресурсах Общества;
- иная информация (указанный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки персональных данных)
2.3. Для анализа работы своих интернет-ресурсов Оператор обрабатывает следующие персональные данные их посетителей:
- адрес электронной почты;
- должность, фамилия, имя, отчество физического лица;
- номер телефона;
- IP адрес;
- информация о браузере;
- данные файлов cookie;
- адреса запрошенных страниц;
- время доступа.
2.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям их обработки и при необходимости принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
2.5. Оператор не осуществляет обработку специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных и иных убеждений, здоровья, половой жизни, привлечения к административной или уголовной ответственности за исключением случаев, когда субъект самостоятельно предоставил такие данные Оператору в соответствии с законодательством Республики Беларусь.
2.6. Оператор в случае необходимости для достижения целей обработки вправе передавать персональные данные третьим лицам с соблюдением требований белорусского законодательства.
ГЛАВА 3
ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет обработку персональных данных в следующих целях:
- осуществление хозяйственной деятельности, выполнение функций, полномочий и обязанностей, возложенных на ООО «ЭдвайсПроф» законодательством Республики Беларусь;
- привлечение кандидатов на занятие вакантных должностей, их проверка (в том числе профессиональных знаний и навыков, опыта работы в требуемой сфере);
- ведение кадрового резерва;
- совершение различных сделок с субъектами персональных данных, их последующее исполнение, а при необходимости изменение и прекращение отношений;
- организация мероприятий, их проведение и обеспечение участия в них субъектов персональных данных;
- обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
- отправление субъектам персональных данных уведомлений, коммерческих предложений, реклама и продвижение услуг, в том числе представление информации об услугах Общества;
- оценка и анализ работы интернет-ресурсов компании, обработка обращений, контроль и улучшение качества оказываемых услуг;
- иные цели, направленные на обеспечение соблюдения трудовых договоров, законов и иных нормативных правовых актов.
3.2. Персональные данные обрабатываются исключительно для достижения указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, то в случае, если появляется дополнительная цель для использования этих данных, необходимо поставить в известность об этом субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
3.3. Правовым основанием обработки персональных данных являются статьи 4, 6, 19 Закона.
ГЛАВА 4
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. СРОКИ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных законодательством Республики Беларусь, когда обработка персональных данных осуществляется без получения такого согласия.
4.2. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли на обработку своих персональных данных.
Отказ в даче согласия на обработку персональных данных дает право Оператору отказать субъекту персональных данных в предоставлении доступа к интернет-ресурсам Общества.
4.3. Оператор осуществляет следующие действия с персональными данными: сбор, систематизацию, хранение, изменение, использование, предоставление, обезличивание, блокирование, удаление, иные действия в соответствии с законодательством Республики Беларусь.
4.4. Способы обработки персональных данных: воспроизведение их в форме изготовления электронных копий документов, представленных на бумажных носителях; размещение их в локальных базах данных, на интернет-ресурсах Общества (CRM-системы, почтовые и иные Сервисы, предназначенные для выполнения трудовых функций работников Общества в соответствии с их компетенцией), передача по информационно-телекоммуникационным сетям или без нее.
4.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных в течение срока не дольше, чем того требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством Республики Беларусь, договором, заключаемым с субъектом персональных данных, в целях совершения действий, установленных этим договором.
4.6. Условием прекращения обработки персональных данных может являться достижение целей обработки, истечение срока обработки, отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
4.7. В случае письменного отзыва согласия субъектом на обработку его персональных данных Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных при отсутствии оснований для обработки этих данных, предусмотренных законодательством.
Заявление об отзыве согласия на обработку персональных данных направляется Оператору в письменной форме простым почтовым отправлением либо в виде электронного документа. Заявление должно содержать:
- фамилию, имя и отчество (при его наличии) субъекта персональных данных;
- адрес его места жительства или места пребывания;
- дату рождения;
- идентификационный номер (если он указывался при даче согласия на обработку персональных данных или если обработка персональных данных ведется без согласия субъекта персональных данных);
- изложение сути заявления;
- личную подпись (электронную цифровую подпись в случае направления заявления в виде электронного документа).
4.8. При обработке персональных данных Оператор принимает необходимые правовые, организационные, технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в их отношении.
ГЛАВА 5
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъект персональных данных имеет право:
- на отзыв в любое время без объяснения причин своего согласия на обработку персональных данных;
- на получение информации, касающейся обработки Оператором его персональных данных;
- на внесение изменений в персональные данные в случае, если они являются неполными, устаревшими или неточными;
- на получение от Общества информации о предоставлении персональных данных третьим лицам;
- требовать бесплатного прекращения обработки своих персональных данных, включая их удаление при отсутствии оснований для их обработки.
- на обжалование действий/бездействий Оператора, относящихся к обработке его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством.
5.2. Для реализации указанных прав Оператору должно быть подано заявление в письменной форме по адресу: 224013, г. Брест, б-р Шевченко, д. 4, оф. 214, либо в виде электронного документа или документа в электронном виде на адрес электронной почты: seminar@a-prof.by. Заявление должно содержать:
- собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания), дату рождения субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись, либо электронную цифровую подпись субъекта персональных данных.
5.3. Субъект персональных данных обязан:
- предоставлять Оператору достоверные сведения о себе;
- в случае необходимости предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;
- своевременно информировать Оператора об изменении своих персональных данных.
ГЛАВА 6
ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в их отношении, включая:
- назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
- определения круга лиц, непосредственно осуществляющих обработку персональных данных;
- утверждение настоящей Политики и иных документов по вопросам обработки персональных данных;
- ознакомление работников Общества и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, настоящей Политикой и иными документами Общества по вопросам обработки персональных данных;
- обучение работников в порядке, установленном законодательством;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) при его наличии;
- осуществление технической защиты персональных данных от несанкционированного доступа в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные (при наличии таких ресурсов (систем).
6.2. Документы на бумажном носителе, содержащие персональные данные, данные посетителей сайта, их электронные копии, должны храниться таким образом, чтобы доступ к ним имелся только у лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, а также работников Общества, непосредственно осуществляющих обработку персональных данных.
6.3. Запрещается передача персональных данных работникам Общества, которые не являются ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также работникам Общества, непосредственно не осуществляющим обработку персональных данных.
6.4. Запрещается обработка персональных данных без наличия правовых оснований для такой обработки, включая случаи отсутствия согласия на совершение определенных действий с персональными данными, либо для целей, не предусмотренных таким согласием.
6.5. В случае поручения обработки персональных данных третьим лицам в соответствующем договоре должны быть определены:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона.
6.6. При наличии обоснованных сомнений в отношении законности обработки персональных данных или вопросов в отношении применения законодательства о персональных данных, а также документов Общества по вопросам персональных данных (включая настоящую Политику) работник Общества обязан обратиться за разъяснениями к лицу ответственному за осуществление внутреннего контроля за обработкой персональных данных.
6.7. За нарушение законодательства о защите персональных данных виновное лицо несет ответственность, установленную законодательными актами.
ГЛАВА 7
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
7.2. В случае, если какое-либо положение Политики признается противоречащим законодательству, оно будет удалено или изменено в той мере, в какой это необходимо для обеспечения его соответствия законодательству. Остальные положения Политики, соответствующие законодательству, остаются в силе и являются действительными.
7.3. Оператор имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов персональных данных.
7.4. Действующая редакция Политики постоянно доступна на интернет-ресурсах Общества:
- на сайте: https://a-prof.by
- в Базе знаний CRM-системы Общества (для работников Общества).