КМ ГРУП

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ САЙТА WWW.RUSAVTOPROM.BY

Общество с ограниченной ответственностью "КМ Груп"

(ООО "КМ Груп")                                                                                                                                        

ПОЛИТИКА ОПЕРАТОРА 

25.01.2022 N 1

 
г. Борисов
 
В отношении обработки персональных данных

УТВЕРЖДАЮ

Управляющий ООО "КМ Груп"

Д.К.Зубарик 

25.01.2022

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика ООО "КМ Груп"  (далее-«Оператор») в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований абз. 3 п. 3 ст. 17 Закона Республики Беларусь от 07.05.2021 N 99-З "О защите персональных данных" в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения Политики.

1.3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в организации вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.

1.4. Текст настоящей Политики размещается ООО «КМ Груп» в сети Интернет на веб-сайте по адресу: https://WWW.RUSAVTOPROM.BY/

1.5. Политика обработки персональных данных у Оператора определяется в соответствии со следующими нормативными правовыми актами:

Конституция Республики Беларусь;

Трудовой кодекс Республики Беларусь;

Закон Республики Беларусь от 07.05.2021 N 99-З "О защите персональных данных" (далее- Закон о защите персональных данных);

Закон Республики Беларусь от 21.07.2008 N 418-З "О регистре населения";

Закон Республики Беларусь от 10.11.2008 N 455-З "Об информации, информатизации и защите информации";

иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.

1.6. В целях реализации положений Политики Оператором разрабатываются соответствующие локальные правовые акты и иные документы, регламентирующие вопросы обработки персональных данных.

1.7. В настоящей Политике используются следующие основные понятия и термины:

a) Оператор - Общество с ограниченной ответственностью "КМ Груп", зарегистрировано в Едином государственном регистре юридических лиц и индивидуальных предпринимателей 17.10.2001г. Борисовским райисполкомом, УНП 690020465, юридический адрес  222519 г. Борисов, ул. Днепровская, д. 58, к. 1

б) персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

в) субъект персональных данных - физическое лицо, к которому относятся обрабатываемые Оператором персональные данные, в том числе физическое лицо, не являющееся работником Оператора, к которому относятся обрабатываемые Оператором персональные данные, для достижения целей, определенных в главе 2 Политики;

г) обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

д) обработка персональных данных с использованием средств автоматизации - обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее;

е) обработка персональных данных без использования средств автоматизации - действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);

ж) распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

з) предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;

и) блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

к) удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

л) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

м) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;

н) физическое лицо, которое может быть идентифицировано - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;

о) Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта;

п) IP-адрес – уникальный сетевой адрес, идентифицирующий устройство в интернете или локальной сети.

1.8. Основные права и обязанности Оператора.

1.8.1. Оператор имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;

2) поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.8.2. Оператор обязан:

1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

2) отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;

3) сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;

4) исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.

1.9. Субъект персональных данных имеет право:

1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

2) требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными; в любое время без объяснения причин отозвать свое согласие на обработку персональных данных. Если субъект персональных данных желает уточнения персональных данных в случае, когда персональные данные являются неполными, неточными или неактуальными, либо желает отозвать свое согласие на обработку персональных данных, субъект персональных данных должен направить официальный запрос в следующем порядке: письмо с темой «Уточнить персональные данные» или «Прекратить обработку персональных данных» на адрес электронной почты kozlovskaya.YP@km-group.by или по адресу ООО «КМ Груп», 222519 г. Борисов, ул. Днепровская, д. 58, к. 1.

В письме необходимо указать электронный адрес и/или почтовый адрес и номер телефона и соответствующее требование. При отзыве согласия на обработку персональных данных субъект персональных данных также отказывается от получения рекламно-информационных рассылок.

3) получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;

4) требовать от Оператора блокирования или удаления его персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5) обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

ГЛАВА 2

ЦЕЛИ И СРОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. ООО "КМ Груп», являясь оператором персональных данных, осуществляет обработку персональных данных следующих категорий субъектов:

родственников работников;

кандидатов на рабочие места;

работников и иных представителей Оператора;

работников и иных представителей контрагентов - юридических лиц;

контрагентов - физических лиц;

потребителей;

иных субъектов, взаимодействие которых с Оператором создает необходимость обработки персональных данных

2.2. Обработка персональных данных  осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.

2.3. Персональные данные обрабатываются Оператором в целях:

осуществление и выполнение функций, полномочий и обязанностей, возложенных на Оператора законодательством Республики Беларусь и международными договорами Республики Беларусь;

предоставление родственникам работников льгот и компенсаций;

выявление конфликта интересов;

рассмотрение возможности трудоустройства кандидатов;

ведение кадрового резерва;

проверка кандидатов (в том числе их квалификации и опыта работы);

оформление пропусков и допусков;

организация и сопровождение деловых поездок;

проведение мероприятий и обеспечение участия в них субъектов персональных данных;

обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;

выпуск доверенностей и иных уполномочивающих документов;

для дальнейшей коммуникации по заявке субъекта персональных данных;

ведение переговоров, заключение и исполнение договоров;

проверка контрагента;

реклама и продвижение товаров и услуг, в том числе представление информации о товарах и услугах Оператора;

обработка обращений с претензиями и информацией по безопасности товаров и услуг;

обработка обращений о негативных явлениях и побочных эффектах;

оценка качества удовлетворенности клиентов;

исполнение обязанности налогового агента;

оценки и анализа работы Оператора, аналитики эффективности размещения рекламы, информирования субъекта персональных данных об акциях, скидках и специальных предложениях посредством рассылок по электронной почте;

оформление трудовых отношений, цели, направленные на обеспечение соблюдения трудовых договоров, договоров, законов и иных нормативных правовых актов;

иных законных целях.

2.4. Обработка персональных данных производится в срок, достаточный для достижения конкретных, заранее заявленных законных целей. Персональные данные будут обрабатываться, пока согласие не будет отозвано.

ГЛАВА 3

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ

3.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, прдусмотренным в разд. 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.2. Оператор может обрабатывать перечисленные персональные данные следующих категорий субъектов персональных данных.

3.2.1. Кандидаты для приема на работу к Оператору:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- контактные данные;

- сведения об образовании, опыте работы, квалификации;

- иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

3.2.2. Работники и бывшие работники Оператора:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- изображение (фотография);

- паспортные данные;

- адрес регистрации по месту жительства;

- адрес фактического проживания;

- контактные данные;

- идентификационный номер;

- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

- семейное положение, наличие детей, родственные связи;

- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

- данные о регистрации брака;

- сведения о воинском учете;

- сведения об инвалидности;

- сведения об удержании алиментов;

- сведения о доходе с предыдущего места работы;

- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3.2.3. Члены семьи работников Оператора:

- фамилия, имя, отчество;

- степень родства;

- год рождения;

- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3.2.4. Клиенты и контрагенты Оператора (физические лица):

- фамилия, имя, отчество;

- дата и место рождения;

- паспортные данные;

- адрес регистрации по месту жительства;

- контактные данные;

- идентификационный номер;

- номер расчетного счета, банковские данные;

- иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

3.2.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц):

- фамилия, имя, отчество;

- паспортные данные;

- контактные данные;

- занимаемая должность;

- иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

3.3. Обработка Оператором биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.

3.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.

ГЛАВА 4

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Если в установленных законодательством Республики Беларусь случаях основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных, такое согласие может быть получено в письменной форме, в виде электронного документа или в иной электронной форме (указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты; проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе; с использованием других способов, позволяющих установить факт получения согласия субъекта персональных данных).

4.2. Субъект персональных данных при даче своего согласия Оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность. Если цели обработки персональных данных не требуют обработки информации, эта информация не подлежит обработке Оператором при получении согласия субъекта персональных данных.

4.3. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.

4.4. Оператор вправе поручить обработку персональных данных от имени Опертатора или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать цели обработки персональных данных; перечень действий, которые будут совершаться с персональными данными уполномоченным лицом; обязанности по соблюдению конфиденциальности персональных данных; меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.

4.5. В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

4.6. Доступ к обрабатываемым Оператором персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей структурных подразделений Оператора, при замещении которых осуществляется обработка персональных данных.

4.7. На сайтах Оператора Оператор вправе использовать технологию «Сookies». «Cookies» не содержат конфиденциальную информацию и не передаются третьим лицам. Оператор получает информацию об IP-адресе пользователей сайтов и сведения о том, по ссылке с какого интернет-сайта он пришел. Данная информация не используется для установления личности посетителя.

4.8. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).

4.9. Обработка персональных данных в Организации осуществляется следующими способами:

с использованием средств автоматизации;

без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

ГЛАВА 5

МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:

предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;

разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;

получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;

назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных у Оператора;

издание документов, определяющих политику Оператора в отношении обработки персональных данных;

ознакомление работников, непосредственно осуществляющих обработку персональных данных у Опратора с положениями законодательства о персональных данных;

установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

осуществление технической и криптографической защиты персональных данных у Оператора в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;

обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;

прекращение обработки персональных данных при отсутствии оснований для их обработки;

незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;

осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;

ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;

осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

5.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

5.3. Внутренний контроль за соблюдением структурными подразделениями Оператора законодательства Республики Беларусь и локальных правовых актов Организации в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.

5.4. Ответственность за нарушение требований законодательства Республики Беларусь и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.