Частное предприятие «Лиды и Продажи»
Политика частного унитарного предприятия по оказанию услуг «Лиды и Продажи» в отношении обработки персональных данных
Вступает в силу 25.04.2025
1. Настоящая Политика частного унитарного предприятия по оказанию услуг «Лиды и Продажи» в отношении обработки персональных данных (далее - Политика) разработана во исполнение абзаца третьего пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон), на основании иных законодательных актов Республики Беларусь, в том числе:
Указа Президента Республики Беларусь от 01.02.2010 № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет»;
Указа Президента Республики Беларусь от 28.10.2021 №422 «О мерах по совершенствованию защиты персональных данных» (далее - Указ);
Закона Республики Беларусь от 10.11.2008 №455-З «Об информации, информатизации и защите информации».
В настоящей Политике используются термины и определения в значениях, указанных в упомянутых выше законодательных актах Республики Беларусь.
2. Настоящая Политика разъясняет субъектам персональных данных как и для каких целей их персональные данные собираются частным унитарным предприятием по оказанию услуг «Лиды и Продажи» (далее - предприятие), используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
3. Настоящая Политика обязательна для ознакомления и исполнения лицами, непосредственно осуществляющими обработку персональных данных.
4. Обработка персональных данных на предприятии осуществляется на основании следующих принципов:
обработка персональных данных осуществляется в соответствии с Законом и иными актами законодательства (законность);
обработка персональных данных должна быть соразмерна заявленным целям (то есть без такой обработки цель не будет достигнута) и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц (справедливость);
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами (правовое основание);
обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки (ограничение цели);
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (запрет избыточности);
обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных (прозрачность);
хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных (ограничение хранения);
при обработке персональных данных предприятие обязано принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их (достоверность).
5. Утверждение настоящей Политики является одной из принимаемых предприятием мер по защите персональных данных, предусмотренных статьей 17 Закона.
6. Настоящая Политика не применяется к обработке персональных данных в процессе трудовой деятельности работников предприятия и при осуществлении административных процедур (в отношении работников предприятия и бывших работников предприятия), при видеонаблюдении, а также пользователей интернет-сайта (в части обработки cookie-файлов).
Политика в отношении обработки cookie пользователей интернет-сайта размещена по адресу: https://lidy.by/pd/cookies;
Политика о видеонаблюдении предприятия размещена по адресу: https://lidy.by/pd/video;
7. Место нахождения предприятия: Республика Беларусь, г. Минск, ул. Хоружей, 29, офис 605и
адрес в сети Интернет: https://lidy.by, e-mail: office@lidy.by
8. Предприятие осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, объеме, на правовых основаниях и в сроки применительно к каждой категории субъектов персональных данных согласно приложению 1 к настоящей Политике.
9. Предприятие не осуществляет передачу персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами.
10. Предприятие хранит персональные данные в течение периода, необходимого для целей, в которых такие данные обрабатывались, или в течение периода, предусмотренного законодательством.
После достижения целей или в случае отзыва согласия субъекта персональных данных предприятие блокирует или удаляет персональные данные в течение срока, предусмотренного законодательством.
11. Предприятие осуществляет трансграничную передачу персональных данных (в том числе в страны, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных) операторам электросвязи-нерезидентам Республики Беларусь, трансграничную передачу персональных данных в Республику Польша (страну с надлежащим уровнем защиты прав субъектов персональных данных) LNS Services PL Sp. z o.o (Республика Польша, г. Варшава, ул. Людна, 2, офис 109) для рассылки SMS-сообщений (в адрес операторов электросвязи-нерезидентов Республики Беларусь). В части трансграничной передачи на территорию Республики Польша это не противоречит нормам Закона (статья 9) и приказу директора Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 №14 «О трансграничной передаче персональных данных», так как Республика Польша является участником Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года.
В этой связи предприятие дополнительно информирует субъектов персональных данных о существовании рисков, возникающих в связи с отсутствием надлежащего уровня защиты персональных данных в таких иностранных государствах:
отсутствие специального законодательства, регулирующего обработку персональных данных, в том числе требований по соблюдению таких норм;
отсутствие независимого уполномоченного государственного органа по защите прав субъектов персональных данных;
ограниченный круг прав субъектов персональных данных;
использование ненадлежащих способов получения персональных данных, незаконная обработка персональных данных, в результате чего персональные данные могут стать доступными неограниченному кругу лиц.
12. Предприятие осуществляет обработку персональных данных с привлечением уполномоченных лиц (субуполномоченных лиц) согласно приложению 1 к настоящей Политике.
С целью рассылки SMS-сообщений и прохождения процедуры регистрации уникальных кодов идентификации обработка персональных данных поручается следующим уполномоченным лицам (субуполномоченным лицам):
УП «А1», место нахождения - 220030, Республика Беларусь, г. Минск, ул. Интернациональная, 36-2;
СООО «Мобильные ТелеСистемы», место нахождения — 220012, Республика Беларусь, г. Минск, пр.Независимости, 95-4;
ЗАО «БеСТ», место нахождения — 220030, Республика Беларусь, г. Минск, ул.Красноармейская, д. 24;
РУП «Национальный центр обмена трафиком», место нахождения — 220030, г. Минск, ул. Карла Маркса, д. 29;
ООО «Контемпорари», место нахождения — 220123, г. Минск, ул. Веры Хоружей, д. 29, каб.805А.
C целью хранения персональных данных обработка персональных данных поручается следующим уполномоченным лицам (субуполномоченным лицам):
РУП «Белтелеком», место нахождения: 220000, г. Минск, ул. Энгельса Фридриха, д. 6 (в части хранения персональных данных);
Объединенный институт проблем информатики Национальной академии наук Беларуси, место нахождения: 220012, г. Минск, ул. Сурганова, д. 6 (в части хранения персональных данных).
С целью ведения бухгалтерского и налогового учета хозяйственной деятельности, а также кадрового делопроизводства, обработки персональных данных в процессе трудовой деятельности, хранения и учета документов в соответствии с законодательством в сфере архивного дела и делопроизводства, рассмотрения и направления ответа на поступившие обращения, в том числе внесенные в книгу замечаний и предложений, обработка персональных данных поручается следующим уполномоченным лицам (субуполномоченным лицам):
ООО «Бел Бизнес Учет», место нахождения: Республика Беларусь, г. Минск, ул. Собинова, 46, пом. 3;
Частное предприятие «ЛНС Менеджмент», место нахождения — 220123, г. Минск, ул. Веры Хоружей, д. 29, офис 1111.
C целью оказания технической поддержки, а также консультаций в чате на сайте обработка персональных данных поручается следующим уполномоченным лицам (субуполномоченным лицам):
ООО «Живой Сайт», место нахождения — 115280, г. Москва, Ленинская слобода, дом 19, офис 21г1.
Уполномоченные лица осуществляют обработку персональных данных на основании заключенного с предприятием договора об обработке персональных данных с уполномоченным лицом и обязуются соблюдать принципы, правила обработки и защиты персональных данных, предусмотренные Законом.
Для каждого уполномоченного лица в договоре об обработке персональных данных с уполномоченным лицом определяются перечень допустимых действий с персональными данными, которые будут совершаться таким лицом, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, указываются необходимые меры и требования, предъявляемые к защите обрабатываемых персональных данных в соответствии с Законом.
В таком случае ответственность перед субъектом персональных данных за действия указанного лица несет предприятие.
Уполномоченное лицо несет ответственность перед предприятием.
13. При отсутствии технической возможности удаления персональных данных предприятие обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
Предприятие вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами, в том числе, если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.
14. Предприятие принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К правовым мерам, принимаемым предприятием, относятся:
разработка и применение документов по обработке и защите персональных данных в предприятии (разработка настоящей Политики, иных локальных правовых актов);
включение в договоры, заключаемые предприятием с контрагентами, требований соблюдения обеспечения защиты персональных данных при их обработке.
К организационным мерам, принимаемым предприятием, относятся:
назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных на предприятии;
ознакомление работников предприятия с требованиями законодательства Республики Беларусь и локальными правовыми актами предприятия в области защиты персональных данных;
издание локальных нормативных правовых актов, определяющих политику предприятия в отношении обработки персональных данных, по вопросам обработки персональных данных, а также устанавливающих процедуры, направленные на предотвращение и выявление нарушений при работе с персональными данными, устранение последствий таких нарушений;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных (использование защищенных и сертифицированных каналов передачи данных);
установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, глобальной компьютерной сети Интернет без применения установленных на предприятии мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
хранение материальных носителей с персональными данными с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
учет машинных носителей с персональными данными;
осуществление внутреннего контроля за соблюдением работниками предприятии, осуществляющими обработку персональных данных, требований законодательства Республики Беларусь и локальных правовых актов, а также контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
обеспечение регистрации и учета всех действий, совершаемых с персональными данными, обрабатываемыми с использованием компьютерных устройств;
реализация разграничения/ограничения доступа работников к документам, информационным ресурсам, техническим средствам и носителям информации, информационным системам с персональными данными и связанным с их использованием работам;
регулярный мониторинг безопасности персональных данных, совершенствование системы их защиты;
организация режима обеспечения безопасности помещений, в которых размещены документы с персональными данными, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
реализация обеспечения сохранности носителей с персональными данными;
определены угрозы безопасности персональных данных при их обработке в информационных системах;
используются средства защиты информации.
15. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
15.1. Согласие субъекта персональных данных может быть получено предприятием в письменной форме, в иной электронной форме. В иной электронной форме предприятие получает согласие субъекта персональных данных посредством получения письма на электронную почту при направлении резюме (анкеты) в электронном виде на электронную почту.
15.2. До получения согласия предприятие предоставляет субъекту персональных данных следующую информацию об условиях обработки его персональных данных:
место нахождения предприятия;
цель обработки персональных данных;
перечень обрабатываемых персональных данных, необходимых для достижения заявленной цели обработки;
перечень совершаемых действий с персональными данными, необходимых для достижения заявленной цели обработки, а также способ их обработки (с использованием средств автоматизации либо без использования средств автоматизации);
привлекаемых уполномоченных лицах, в случае их привлечения;
в случае трансграничной передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, предприятие дополнительно информирует субъекта персональных данных о рисках, возникающих в связи с отсутствием надлежащего уровня защиты его персональных данных в таких государствах;
срок, на который субъект персональных данных дает согласие.
Предприятие также до получения согласия разъясняет субъекту персональных данных его права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи согласия или отказа в даче такого согласия.
16. Субъект персональных данных имеет право:
на отзыв своего согласия, если для обработки персональных данных предприятие обращалось к субъекту персональных данных за получением согласия. По этой причине право на отзыв согласия не может быть, в частности, реализовано в случае, когда обработка осуществляется на основании договора;
на получение информации, касающейся обработки своих персональных данных предприятием, содержащей:
наименования и места нахождения предприятия;
подтверждение факта обработки персональных данных предприятием обратившегося лица;
персональные данные обратившегося и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано согласие на обработку персональных данных (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица (уполномоченных лиц), которым предприятие передает персональные данные для обработки;
иную информацию, предусмотренную законодательством;
требовать от предприятия внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
получить от предприятия информацию о предоставлении своих персональных данных, обрабатываемых предприятием, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
требовать от предприятия бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
обжаловать действия (бездействие) предприятия при обработке персональных данных в Национальный центр защиты персональных данных в порядке, предусмотренном Указом.
17. Для реализации своих прав, связанных с обработкой персональных данных предприятием (за исключением случая обжалования действий (бездействия) предприятия при обработке персональных данных), субъект персональных данных направляет на предприятие заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия – также в форме, в которой такое согласие было получено) соответственно по адресу или адресу в глобальной компьютерной сети Интернет, указанном в пункте 7 настоящей Политики или посредством государственной единой (интегрированной) республиканской информационной системы учета и обработки обращений граждан и юридических лиц (https://обращения.бел).
Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия предприятию или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
Предприятие не рассматривает заявления субъектов персональных данных, поступившие в его адрес иными способами (иной e-mail, помимо указанного в настоящей Политике, телефон и т.п.).
Обжалование действий (бездействия) предприятия при обработке персональных данных в Национальный центр защиты персональных данных осуществляется по адресам:
почтовый адрес Национального центра защиты персональных данных: 220004, г. Минск, ул. Клары Цеткин, д. 24, 3;
адрес в глобальной компьютерной сети Интернет: www.cpd.by, www.цпд.бел; e-mail: info@cpd.by.
18. Настоящая Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.
19. Текущая редакция настоящей Политики размещена в неограниченном доступе по адресам, указанным в пункте 7 настоящей Политики.
20. Предприятие имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов персональных данных.