Политика ООО «Рускойл Групп» в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика ООО «Рускойл Групп» (далее – Общество) в отношении обработки персональных данных физических лиц (далее – Политика) разработана во исполнение Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) в целях обеспечения защиты персональных данных физических лиц, а также их прав и свобод при обработке их персональных данных Обществом.
1.2. Политика действует в отношении всех персональных данных физических лиц, обрабатываемых Обществом.
1.3. Политика публикуется в свободном доступе в информационнотелекоммуникационной сети Интернет на сайте Общества.
1.4. Основные термины и понятия, используемые в Политике: автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; блокирование персональных данных - прекращение доступа к персональным данным без их удаления; информационная система персональных данных - совокупность
содержащихся в базах данных Общества персональных данных и обеспечивающих их обработку информационных технологий и технических средств; обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение; общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов; оператор персональных данных - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных; персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано; предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга определенных лиц; распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные; субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных; уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах; удаление персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.5. Обработка Обществом персональных данных должна быть соразмерна заявленным целям их обработки и ограничиваться достижением данных целей, должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством. Обработка персональных данных должна носить прозрачный характер, в связи с чем субъекту персональных данных в случаях, предусмотренных Законом, должна предоставляется соответствующая информация, касающаяся обработки его персональных данных. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Общество хранит персональные данные в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных. При необходимости Общество должно обновлять хранящиеся у него персональные данные. Общество осуществляет обработку общедоступных данных. Обществом не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.
1.6. Общество является оператором персональных данных, самостоятельно осуществляющая их обработку, а также владельцем информационных систем, в которых обрабатываются получаемые Обществом персональные данные физических лиц. Общество вправе поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. При этом в договоре с уполномоченными лицом должны быть определены: цели обработки персональных данных; перечень действий, которые будут совершаться с персональными данными уполномоченным лицом; обязанности по соблюдению конфиденциальности персональных данных; меры по обеспечению защиты персональных данных.
1.7. Физические лица могут быть идентифицированы Обществом: через совокупность основных персональных данных, по которым можно определить лицо прямо (идентификационный номер; фамилия, собственное имя, отчество (если таковое имеется); пол; число, месяц, год (далее - дата) рождения; место рождения; цифровой фотопортрет; данные о гражданстве (подданстве); данные о регистрации по месту жительства и (или) месту пребывания; данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным); через данные, по которым можно определить лицо косвенно (один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности). Любая обрабатываемая Обществом информация идентифицированных ей физических лиц является персональными данными этих лиц.
1.8. Если Общество не может идентифицировать и определить принадлежность персональных данных (признаков) конкретному физическому лицу прямо или косвенно через одни или совокупность данных (признаков) без использования дополнительной информации, то такие данные являются обезличенными персональными данными. На работу с обезличенными данными не распространяются требования настоящей Политики по их обработке.
1.9. Контроль за исполнением требований Политики осуществляется работником Общества, назначенным ответственным за осуществление внутреннего контроля за обработкой персональных данных.
2.1. Обработка Обществом персональных данных должна быть соразмерна заявленным целям их обработки и ограничиваться достижением данных целей.
2.2. Целями обработки Обществом персональных данных физических лиц, не требующих получения согласия субъекта персональных данных, могут быть в том числе:
2.2.1. оформление трудовых отношений в Обществе, а также использование персональных данных в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством. К таким случаям могут относиться: трудовые и связанные с ними отношения, которые регулируются Трудовым кодексом Республики Беларусь (статья 4), иным законодательством, а также локальными правовыми актами Общества; выпуск работникам Общества доверенностей; ведение кадрового делопроизводства, бухгалтерского учета, пропускного режима; содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества; привлечение, проверка и отбор кандидатов на работу в Обществе; организация постановки на воинский учет, на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования, профсоюзный учет, статистический учет и др.;
2.2.2. получение Обществом персональных данных физического лица, в том числе, являющегося представителем юридического лица, на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором (купля-продажа, поставка продукции, исполнение гарантийных обязательств и др.);
2.2.3. при обработке Обществом персональных данных, когда они указаны в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа (например: адресованные Обществу обращения, письма, претензии, памятки клиентов; доверенности представителей; анкеты кандидатов и т.п.);
2.2.4. для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
2.2.5. в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных в адрес Общества требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;
2.2.6. при обработке персональных данных, когда их обработка является необходимой для выполнения Обществом своих обязанностей (полномочий), предусмотренных законодательными актами;
2.2.7. в иных случаях, когда Законом или иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
2.3. Целями обработки Обществом персональных данных физических лиц, требующих получения согласия субъекта персональных данных, при отсутствии документа, адресованного Обществу и подписанного субъектом персональных данных, могут быть:
2.3.1. формирование телефонного справочника, содержащего контактный данные работников Общества, предоставляемого для сведения иных работников Общества;
2.3.2. предоставление персональных данных третьим лицам для отгрузки и (или) доставки товара клиентам Общества, в том числе со складов сторонних поставщиков;
2.3.3. внедрение бонусных программ, программ лояльности среди клиентов Общества.
3.1. С целью обеспечения прозрачного характера обработки персональных данных Общество до получения согласия субъекта персональных данных в письменной либо электронной форме, соответствующей форме выражения такого согласия, информирует его о: наименовании и месте нахождения (юридическом адресе) Общества, получающего согласие субъекта персональных данных; цели(-ях) обработки персональных данных; перечне персональных данных, на обработку которых дается согласие субъекта персональных данных; срок, на который дается согласие субъекта персональных данных; информации об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами; перечне действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых Обществом способов обработки персональных данных; иной информации, необходимой для обеспечения прозрачности процесса обработки персональных данных.
До получения согласия субъекта персональных данных Общество обязано простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
3.2. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. В иной электронной форме согласие субъекта персональных данных может быть получено посредством: указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC сообщения, сообщения на адрес электронной почты; проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе; других способов, позволяющих установить факт получения согласия субъекта персональных данных (цифровые звуко- или видеозапись, хранимые в электронном виде).
3.3. В согласии субъекта персональных данных указываются фамилия, собственное имя, отчество (если таковое имеется), дата рождения и идентификационный номер (в случае его отсутствия – номер документа, удостоверяющего личность), за исключением случаев, когда цель обработки не требует наличия данной информации.
3.4. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие направив оператору заявление в письменной форме либо в виде электронного документа.Такое заявление должно содержать: фамилию, собственное имя, отчество (если таковое имеется); дату рождения субъекта персональных данных; идентификационный номер, при его отсутствии – номер документа, удостоверяющий личность субъекта персональных данных; изложение сути требований (например, отзыв согласия); личную подпись (если заявление в письменной форме) или электронную цифровую подпись (если заявление в виде электронного документа).
4.1. Сбор персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных из общедоступных источников;
- внесения персональных данных в журналы, реестры и информационные системы Общества;
- использования иных способов обработки персональных данных (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием телефонии, внутренней сети и сети Интернет.
4.2. Источником информации обо всех персональных данных является непосредственно субъект персональных данных.
4.3. Если иное не установлено Законом, Общество вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
4.4. Общество не вправе раскрывать полученные ей персональные данные третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.
5.1. Хранение персональных данных осуществляется на компьютерах, серверах и иных машинных носителях Общества. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные правовые акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников Общества, осуществляющих обработку персональных данных.
5.2. К средствам защиты персональных данных, хранящихся в информационных системах Общества, в частности относятся:
- антивирусные программы;
- средства управления доступом (логин, пароль);
- средства протоколирования и аудита и т.д.
К средствам защиту персональных данных, хранящихся на бумажном носителе, в частности относятся:
- персонифицированный доступ при помощи электронных ключей в помещения Общества, где хранятся персональные данные;
- и (или) запираемые на ключ сейфы, шкафы, отдельные помещения (комнаты, кабинеты и др.).
5.3. Общество осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.
6. Работники, имеющие доступ к персональным данным, и порядок доступа к ним
6.1. Персональные данные, полученные Обществом, доступны работникам Общества, имеющим на то право в соответствии с их должностными обязанностями.
6.2. Доступ к персональным данным может быть предоставлен уполномоченным лицам, осуществляющим обработку персональных данных клиентов Обществу в интересах Общества. Доступ к персональным данным клиента предоставляется указанным лицам только если это требуется в рамках оказываемой клиенту услуги по отгрузке и (или) доставке товара.
6.3. Порядок доступа работников к обработке персональных включает в себя закрепление в их должностных инструкциях соответствующих обязанностей, предоставление логина и пароля для входа в соответствующую информационную систему Общества.