Индивидуальный предприниматель
Лукьянова Ольга Сергеевна
УТВЕРЖДЕНО
Решение от 15.11.2021 № 15/11-1
ПОЛИТИКА
в отношении обработки
персональных данных
15.11.2021
г. Минск
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Политика обработки персональных данных в Индивидуальным предпринимателем Лукьяновой Ольгой Сергеевной (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых Индивидуальным предпринимателем Лукьяновой Ольгой Сергеевной (далее – Оператор) персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.
2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
3. Положения Политики служат основой для принятия Оператором решений, регламентирующих вопросы обработки и защиты персональных данных.
ГЛАВА 2
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ
4. Политика обработки персональных данных разработана в соответствии со следующими нормативными правовыми актами:
Конституция Республики Беларусь;
Трудовой кодекс Республики Беларусь;
Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
ГЛАВА 3
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
5. Биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
6. Блокирование персональных данных — прекращение доступа к персональным данным без их удаления.
7. Контрагент — физическое лицо, с которым у Оператора заключен гражданско-правовой договор любого вида (в том числе на оказание услуг, выполнение работ, поставку товаров), в том числе являющееся индивидуальным предпринимателем.
8. Контрагент — физическое лицо, с которым у Оператора заключен гражданско-правовой договор любого вида (в том числе на оказание услуг), в том числе являющееся индивидуальным предпринимателем.
9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
10. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
11. Общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
12. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
13. Потенциальный контрагент — физическое лицо, с которым Оператор (непосредственно либо через третье лицо) осуществляет взаимодействие (рассмотрение информации о контрагенте, проведение переговоров и т.п.) с целью принятия решения о заключении между ним и Оператором гражданско-правового договора.
14. Предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.
15. Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
16. Сайт — любой сайт в сети Интернет (интернет-ресурс), администрируемый Оператором.
17. Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
18. Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.
19. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.
20. Удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
21. Физическое лицо, которое может быть идентифицировано, — физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
22. Информация — сведения (сообщения, данные) независимо от формы их представления.
23. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
ГЛАВА 4
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
24. Обработка персональных данных Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
25. Персональные данные обрабатываются Оператором в целях:
выполнения функций, полномочий и обязанностей, возложенных на Оператора законодательством Республики Беларусь;
сбора информации о потенциальных контрагентах и контрагентах;
ведения переговоров, заключения и исполнения договоров;
рекламы и продвижения услуг Оператора, в том числе предоставление информации о деятельности Оператора;
оценки и анализа функционирования Сайта, информирования о функционировании Сайта;
обработки обращений и запросов, поступающих от субъектов персональных данных;
формирования статистической отчетности;
проведения исследований;
исполнения обязанностей налогового агента;
осуществления хозяйственной деятельности;
иных целях, направленных на обеспечение соблюдения законодательства.
ГЛАВА 5
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
26. Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:
соискатели;
контрагенты;
потенциальные контрагенты;
посетители Сайта;
другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в главе 4 Политики).
ГЛАВА 6
ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
27. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Республики Беларусь, решениями Оператора с учетом целей обработки персональных данных, указанных в главе 4 Политики, и включает в себя:
фамилию, собственное имя;
номер мобильного телефона;
адрес электронной почты;
логин Skype;
иные данные, необходимые для исполнения взаимных прав и обязанностей.
28. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных Оператором не осуществляется за исключением случаев, когда субъект персональных данных самостоятельно предоставил такие данные Оператору, либо они стали известны Оператору в соответствии с законодательством Республики Беларусь.
ГЛАВА 7
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
29. Персональные данные Оператором обрабатываются с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь о персональных данных.
30. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
ГЛАВА 8
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
И СПОСОБЫ ИХ ОБРАБОТКИ
31. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных) субъектов персональных данных.
32. Персональные данные Оператором обрабатываются следующими способами:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
ГЛАВА 9
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
33. Субъекты персональных данных имеют право на:
отзыв согласия субъекта персональных данных;
получение информации, касающейся обработки персональных данных, и изменение персональных данных;
получение информации о предоставлении персональных данных третьим лицам;
требовать прекращения обработки персональных данных и (или) их удаления;
обжалование действий (бездействия) и решений Оператора, связанных с обработкой персональных данных.
ГЛАВА 10
ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
34. Оператор обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательством;
обеспечивать защиту персональных данных в процессе их обработки;
предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
в пятнадцатидневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
в случае, получения от субъекта персональных данных требования о бесплатном прекращении обработки его персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством, в пятнадцатидневный срок после получения такого заявления прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных (при отсутствии технической возможности удаления персональных данных Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные законодательством.
ГЛАВА 11
МЕХАНИЗМ РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЬIХ ДАННЫХ
35. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в письменной форме, направленного заказным почтовым отправлением, либо в виде электронного документа.
Заявление должно содержать:
фамилию, имя, отчество субъекта персональных данных;
адрес места жительства (места пребывания);
дату рождения;
идентификационный номер (если указывался при даче согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных);
изложение сути требования;
личную подпись либо электронную цифровую подпись.
Оператор в течение 15 (пятнадцати) дней после получения заявления прекращает обработку персональных данных (если, согласно законодательству, отсутствуют основания для обработки), осуществляет их удаление, при отсутствии технической возможности удаления — принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.
36. Субъект персональных данных вправе получить у Оператора информацию, касающуюся обработки своих персональных данных, посредством подачи заявления в порядке, предусмотренном п. 34 Политики.
Оператор обязан в течение 5 (пяти) рабочих дней после получения заявления, если иной срок не установлен законодательными актами, предоставить в доступной форме запрашиваемую информацию либо уведомить о причинах отказа в ее предоставлении.
Такая информация предоставляется субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.
37. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными, посредством подачи Оператору заявления в порядке, предусмотренном п. 41 Политики, с приложением документов (заверенных в установленном порядке копий), подтверждающих необходимость внесения таких изменений. Оператор в течение 15 (пятнадцати) дней после получения заявления вносит изменения в персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет о причинах отказа во внесении изменений.
38. Субъект персональных данных вправе получить от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, посредством подачи заявления в порядке, предусмотренном п. 41 Политики. Оператор в течение 15 (пятнадцати) дней после получения заявления предоставляет субъекту персональных данных информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет его о причинах отказа в предоставлении такой информации.
39. Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки, посредством подачи Оператору заявления в порядке, предусмотренном п. 34 Политики. Оператор в течение 15 (пятнадцати) дней после получения заявления прекращает обработку персональных данных (если, согласно законодательству, отсутствуют основания для обработки), осуществляет их удаление, при отсутствии технической возможности удаления — принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.
ГЛАВА 12
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
40. Вопросы обработки персональных данных, неурегулированные в Политике, регулируются законодательством Республики Беларусь.
41. В случае, если какое-либо положение Политики признается противоречащим законодательству, остальные положения, соответствующие законодательству, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству.
42. Изменения и/или дополнения Политики, либо ее новая редакция могут доводиться Оператором до всеобщего сведения неограниченному кругу лиц посредством размещения на Сайте.
