Согласие на обработку персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. ОАО «Торгово-логистический центр «Озерцо-логистик» (далее – Общество) уделяет особое внимание защите персональных данных при их обработке в Обществе и с уважением относится к соблюдению прав субъектов персональных данных.
1.2. Политика обработки персональных данных в Обществе (далее – Политика) разработана во исполнение и с учетом требований Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее – Закон), а также устанавливает цели, основные принципы и правила обработки персональных данных, определяет основные меры по их защите.
1.3. Для достижения целей настоящей Политики используются следующие термины и их определения:
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
специальные персональные данные – персональные данные, касающиеся расовой, либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.);
генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии, либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных, либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
оператор – открытое акционерное общество «Торгово-логистический центр «Озерцо-логистик» в отношении персональных данных субъектов, обработка которых осуществляется в Обществе;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
пользователь услуг оператора – физическое и (или) юридическое лицо, индивидуальный предприниматель и их представители, пользующиеся услугами Общества;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
иные термины, определяемые Законом.
1.4. Положения настоящей Политики являются основой для работы и разработки, актуализации локальных правовых актов Общества, регламентирующих процессы обработки персональных данных различных категорий субъектов персональных данных, а также порядок реализации мер для защиты обрабатываемых персональных данных.
1.5. Политика не применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников и бывших работников) и при осуществлении административных процедур.
1.6. Политика является общедоступной и размещается в сети Интернет на сайте https://ozerco.by, однако не применяется к обработке персональных данных пользователей интернет-сайта (в части cookie-файлов).
Интернет сайт Общества https://ozerco.by находится на хостинге в Государственном учреждении «Главное хозяйственное управление» Управления делами Президента Республики Беларусь, данные пользователей интернет-сайта Обществом не обрабатываются.
2. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор осуществляет обработку персональных данных следующих субъектов персональных данных:
акционеров, аффилированных лиц и иных представителей Общества;
работников (бывших работников) оператора, их близких родственников и членов семей;
кандидатов для трудоустройства (соискателей);
пользователей услугами оператора (представители (работники) и иные уполномоченные лица, пользующиеся (намеревающиеся пользоваться) услугами, оказываемыми оператором);
физических лиц, с которыми оператор состоит в договорных отношениях или планирует вступить в договорные отношения;
физических лиц, чьи персональные данные стали известны оператору:
в силу предоставления им со стороны оператора социальных гарантий и компенсаций;
при исполнении судебных постановлений (решений);
в процессе осуществления административных процедур;
в процессе рассмотрения поступивших обращений;
в силу выполнения иных функций и задач, возложенных на Общество.
иных субъектов, взаимодействие которых с Обществом предполагает необходимость обработки персональных данных.
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет обработку следующих персональных данных субъектов персональных данных:
идентификационный номер;
фамилия, собственное имя, отчество (если таковое имеется);
пол;
число, месяц, год рождения;
место рождения;
цифровой фотопортрет;
данные: о гражданстве (подданстве); о регистрации по месту жительства (или) месту пребывания; о мобильном (домашнем) номере телефона; о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным; о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица; об образовании, ученой степени, ученом звании; о роде занятий; о трудовой деятельности; о членстве в общественных объединениях (организациях), политических партиях, союзах (ассоциациях) политических партий, профессиональных союзах; о доходах (в том числе заработной плате, пенсии), ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний; об инвалидности; о наличии исполнительного производства на исполнении в органах принудительного исполнения;
банковские реквизиты;
иных персональных данных, необходимых для обеспечения и реализации целей обработки, указанных в настоящей Политике (указанный перечень может сокращаться и расширяться в зависимости от конкретного случая и целей обработки).
3.2. Обработка персональных данных оператором осуществляется в целях:
ведения кадровой работы, включая привлечение и отбор кандидатов на работу у оператора;
обеспечения контрольно-пропускного режима объекта (-ов) оператора;
приема и обработки входящей (в том числе посредством электронных ресурсов) корреспонденции;
заключения и исполнения договоров, заключенных с физическими и юридическими лицами (в том числе индивидуальными предпринимателями), состоящими в договорных и (или) иных гражданско-правовых отношениях с оператором;
направления субъектам персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с работами и услугами оператора;
предоставления информации об оказываемых услугах, разработке новых продуктов и услуг;
проведения акций, опросов, маркетинговых, статистических и иных исследовательских действий;
обеспечения транспортной безопасности;
управления перевозочным процессом;
повышения качества обслуживания и доступности транспортных перевозок;
осуществления административных процедур;
рассмотрения обращений;
ведения бухгалтерского и налогового учета;
осуществления и выполнения иных возложенных законодательством на оператора функций, полномочий и обязанностей, а также для достижения других целей, предусмотренных законодательством и международными договорами Республики Беларусь.
3.3. Обработка персональных данных оператором осуществляется с соблюдением следующих принципов:
обработка осуществляется в соответствии с Законом и иными актами законодательства;
обработка обеспечивает на всех этапах справедливое соотношение интересов всех заинтересованных лиц;
обработка осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством;
обработка ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
в случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор получает согласие субъекта персональных данных на обработку его персональных данных (далее – согласие субъекта на обработку персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательством;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер, в связи с чем субъекту персональных данных в случаях, предусмотренных Законом, может быть предоставлена соответствующая информация, касающаяся обработки его персональных данных;
оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше чем этого требуют заявленные цели обработки персональных данных.
3.4. Правовыми основаниями обработки персональных данных являются пункт 3 статьи 4, статьи 6 и 8 Закона.
3.5. Хранение документов, содержащих персональные данные, осуществляется в соответствии со сроками, установленными в порядке, определенном законодательными актами в области архивного дела и делопроизводства.
4. СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Согласие субъекта персональных данных предоставляет собой свободное, однозначное, информированное выражение его воли, посредством которого он предоставляет разрешение на обработку оператором своих персональных данных.
Отказ от дачи согласия на обработку персональных данных дает право оператору отказать субъекту персональных данных в предоставлении работ (услуг), оказываемых оператором.
4.2. Оператор получает согласие субъекта персональных данных в письменной форме.
4.3. До получения согласия субъекта персональных данных оператор в письменной форме предоставляет субъекту персональных данных информацию, содержащую:
наименование и место нахождения оператора, получающего согласие субъекта персональных данных;
цели обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
срок, на который дается согласие субъектом персональных данных;
информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Примерная форма уведомления субъекта персональных данных о предоставлении информации, указанной выше, приведена в приложении 1 к настоящей Политике.
4.4. До получения согласия субъекта персональных данных оператор простым и ясным языком разъясняет субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация предоставляется оператором субъекту персональных данных в письменном виде, отдельно от иной предоставленной ему информации.
Примерная форма уведомления субъекта персональных данных о разъяснении его прав, связанных с обработкой персональных данных, приведена в приложении 2 к настоящей Политике.
4.5. Субъект персональных данных при даче своей согласия оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность.
Если цели обработки персональных данных не требуют обработки информации, указанной выше, эта информация не подлежит обработке оператором при получении согласия субъекта персональных данных.
Примерная форма согласия субъекта персональных данных размещена в приложении 3 к настоящей Политике.
4.6. Обязанности доказывания получения согласия субъекта персональных данных на обработку возлагается на оператора.
4.7. Субъект персональных данных вправе отозвать свое согласие в порядке, установленном Законом.
4.8. В случае смерти субъекта персональных данных, объявления его умершим согласие на обработку его персональных данных дает один из наследников, близких родственников, усыновителей удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также достижения им возраста шестнадцати лет, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку его персональных данных дает один из его законных представителей. Законодательными актами может быть предусмотрен иной возраст несовершеннолетнего, до достижения которого согласие на обработку его персональных данных дает один из его представителей.
Лица, указанные выше, в случае дачи согласия на обработку персональных данных вместо субъекта персональных данных пользуются всеми правами субъекта персональных данных, предусмотренными Законом.
4.9. Согласие субъекта персональных данных на обработку персональных данных, за исключением специальных персональных данных, порядок обработки которых установлен настоящей Политикой, не требуется:
для целей ведения административного и (или) уголовного процесса;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
в целях осуществления контроля (надзора) в соответствии с законодательными актами;
при реализации норм законодательства о борьбе с коррупцией;
для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
при формировании официальной статистической информации;
при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованному оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
для защиты жизни, здоровья и иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в отношении ранее распространенных персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных законодательством;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательством;
в иных случаях, когда Законом и иными актами законодательства прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
4.10. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением следующих случаев:
если специальные персональных данных сделаны общедоступными персональными данными самим субъектом персональных данных;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов, совершения исполнительной надписи;
для целей ведения административного и (или) уголовного процесса;
в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;
для формирования официальной статистической информации;
для осуществления административных процедур;
для защиты жизни, здоровья и иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательством;
иных случаях, когда Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
4.11. Обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъект персональных данных имеет право:
отозвать согласие на обработку своих персональных данных;
получать информацию, касающуюся обработки оператором своих персональных данных, за исключением случаев, предусмотренных Законом;
требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
получать от оператора информацию о предоставлении своих персональных данных третьим лицам;
требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии основания для обработки персональных данных, предусмотренных законодательством;
обжаловать действия (бездействие) и решения оператора, нарушающие его права при обработке персональных данных, в соответствии с законодательством;
реализовывать иные права, предусмотренные законодательством.
5.2. Субъект персональных данных обязан:
предоставлять оператору исключительно достоверные сведения о себе;
в случае необходимости предоставлять оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;
информировать оператора об изменениях своих персональных данных.
5.3. Лицо, предоставившее оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.
5.4. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Обществе, направив соответствующее сообщение на электронный адрес: s.akrushko@ozerco.by.
6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
6.1. Оператор имеет право:
получать от субъекта персональных данных достоверную информацию и (или) документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе если они являются необходимыми для заявленных целей обработки;
в случае необходимости для достижения целей обработки персональных данных передавать персональные данные третьим лицам, с соблюдением требований законодательства Республики Беларусь.
6.2. Оператор обязан:
обрабатывать персональные данные в порядке, предусмотренном законодательством Республики Беларусь;
разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных;
получить согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательством;
обеспечивать защиту персональных данных в процессе их обработки;
предоставить субъекту персональных данных информацию о его персональных данных, в также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательством, либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование) при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
уведомлять Национальный центр защиты персональных данных о нарушении систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных Национальным центром защиты персональных данных;
осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию Национального центра защиты персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательством;
выполнять иные обязанности, предусмотренные законодательством.
6.3. Оператор в целях обеспечения режима защиты персональных данных при их обработке в соответствии с законодательством:
принимает меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий;
назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
определяет перечень лиц, осуществляющих обработку персональных данных;
организует в порядке, предусмотренном законодательством, прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных;
ежегодно, в срок до 15 ноября, обеспечивает представление Национальному центру защиты персональных данных информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в Национальном центре защиты персональных данных. Подготовка и направление соответствующей информации осуществляется лицом ответственным за осуществление внутреннего контроля за обработкой персональных данных;
организует условия хранения персональных данных, обеспечивающие их сохранность;
обеспечивает неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику оператора в отношении обработки персональных данных.
6.4. Руководители структурных подразделений Общества обеспечивают обработку и защиту персональных данных в соответствии с настоящей Политикой и осуществляют контроль за выполнением работниками соответствующих структурных подразделений требований законодательства и локальных правовых актов в области обработки и защиты персональных данных.
7. ПОРЯДОК ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. К обработке персональных данных допускаются только работники, в должностные обязанности которых входит обработка персональных данных.
Данные работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих обязанностей и в целях, установленных настоящей Политикой.
7.2. Безопасность персональных данных обеспечивается реализацией комплекса мер, определенных законодательством и локальными правовыми актами, в том числе включающих:
определение угроз безопасности персональных данных при их обработке;
недопущение несанкционированного доступа к персональным данным;
обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер.
7.3. При работе с персональными данными работникам запрещается сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным, а также делать копии документов, содержащих персональные данные, не требующиеся для исполнения своих должностных обязанностей.
7.4. Работники оператора обязаны незамедлительно проинформировать своего непосредственного руководителя и (или) лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Обществе:
о фактах утраты (хищения) носителей персональных данных;
о фактах разглашения или неправомерной обработке персональных данных;
о ставших известными ему фактах или возможности несанкционированного доступа к персональным данным.
7.5. Работники структурных подразделений, непосредственно осуществляющие обработку персональных данных, несут персональную ответственность за нарушение требований законодательства и локальных правовых актов в области обработки и защиты персональных данных, а также за разглашение и (или) передачу обрабатываемых в Обществе персональных данных третьим лицам.
8. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
имеется согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и в порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров, стороной по которому выступает Республики Беларусь;
получено соответствующее разрешение Национального центра защиты персональных данных Республики Беларусь.
8.2. Перечень иностранных государств, на территории которых обеспечиваются надлежащий уровень защиты прав субъектов персональных данных, определяется Национальным центом защиты персональных данных Республики Беларусь.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
9.2. В случае, если какое-либо положение Политики признается противоречащим законодательству, остальные положения, соответствующие законодательству, остаются в силе и являются действительными, а любое недействительное положение считается удаленным (измененным) в той мере, в которой это необходимо для обеспечения его соответствия законодательству Республики Беларусь.
9.3. Оператор имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) уведомления субъектов персональных данных.