Политика ООО «Плоды Деметры» в отношении обработки и защиты персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Сбор, обработка и защита персональных данных в ООО «Плоды Деметры» осуществляется в соответствии с требованиями Конституции Республики Беларусь, закона «О персональных данных» (далее — Закон), подзаконных актов, других определяющих особенности сбора, обработки персональных данных законов Республики Беларусь, руководящих и методических документов в отношении сбора, обработки и защиты персональных данных.
1.2. Настоящий Документ (далее по тексту – «Политика») разработан ООО «Плоды Деметры» (далее по тексту – «Исполнитель»), которое самостоятельно или совместно с третьими лицами организует и осуществляет сбор, обработку и защиту персональных данных в процессе осуществления своей предпринимательской и хозяйственной деятельности в соответствии с требованиями действующего законодательства Республики Беларусь о персональных данных и их защите.
2. ТЕРМИНЫ И ПРИНЯТЫЕ СОКРАЩЕНИЯ
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); распространение; обезличивание; блокирование; удаление; уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становитсяневозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.
Субъекты персональных данных – физические лица, к которым относятся персональные данные. Исполнитель собирает, обрабатывает и защищает персональные данные: Клиентов Оператора, использующих функционал Платформы для выбора и приобретения цветов и подарков (далее по тексту «Заказы») с доставкой своим Получателям (далее по тексту – «Получатели заказов») и для проведения оплаты Заказов, включая пользователей официального интернет-ресурса и мобильного приложения https://www.vambuketik.by, принадлежащих ООО «Плоды Деметры» – собственнику базы, содержащей персональные данные(далее по тексту – «Собственник») и используемых Оператором на законных основаниях; представителей и сотрудников контрагентов Оператора – Поставщиков товаров и услуг (далее по тексту – «Поставщики»), использующих функционал Платформы для продажи цветов и подарков Покупателям, для выполнения Заказов и проведения расчётов с Платформой; действующих и бывших работников, а также кандидатов на работу в компании Оператора; физические лица, выполняющих работы и услуги для Оператора в рамках гражданско-правовых отношений (договоров).
3. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.
3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Республики Беларусь.
3.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
3.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
– непосредственно;
– с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
3.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
3.7. Обработка персональных данных осуществляется путем:
– получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
– внесения персональных данных в журналы, реестры и информационные системы Оператора;
– использования иных способов обработки персональных данных.
3.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законом.
3.9. Передача персональных данных органам дознания и следствия, в Налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.
3.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
– определяет угрозы безопасности персональных данных при их обработке;
– принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
– назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
– создает необходимые условия для работы с персональными данными;
– организует учет документов, содержащих персональные данные;
– организует работу с информационными системами, в которых обрабатываются персональные данные;
– хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
– организует обучение работников Оператора, осуществляющих обработку персональных данных.
3.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором или соглашением.
3.12. При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Республики Беларусь с использованием баз данных, находящихся на территории Республики Беларусь, за исключением случаев, указанных в Законе о персональных данных.
3.13. Цели обработки персональных данных:
3.13.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.13.2. Обработка Оператором персональных данных осуществляется в следующих целях:
– обеспечение соблюдения Конституции, законов и иных нормативных правовых актов Республики Беларусь;
– осуществление своей деятельности в соответствии с уставом ООО «Плоды Деметры»;
– ведение кадрового делопроизводства;
– содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
– привлечение и отбор кандидатов на работу у Оператора;
– организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
– заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
– осуществление гражданско-правовых отношений;
– ведение бухгалтерского учета;
– осуществление пропускного режима;
– организация участия Пользователей в бонусных программах лояльности;
– направление Пользователю материалов рекламного характера;
– информирование Пользователя о ходе выполнения Заказа и согласование деталей исполнения Заказа;
– передача Персональных данных Пользователя/Получателя третьим лицам, в целях осуществления доставки Товара Пользователю/Получателю;
– урегулирование претензий Пользователя;
– в иных целях, предусмотренных нормативными и правовыми актами Республики Беларусь.
3.14.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3.15. Категории субъектов персональных данных.Обрабатываются ПД следующих субъектов ПД:
– физические лица, состоящие с ООО «Плоды Деметры» в трудовых отношениях;
– физические лица, уволившиеся из ООО «Плоды Деметры»;
– физические лица, являющиеся кандидатами на работу;
– физические лица, состоящие с ООО «Плоды Деметры» в гражданско-правовых отношениях.
3.16. ПД, обрабатываемые Оператором:
– данные, полученные при осуществлении трудовых отношений;
– данные, полученные для осуществления отбора кандидатов на работу;
– данные, полученные при осуществлении гражданско-правовых отношений.
3.17. Хранение ПД.
3.17.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
3.17.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
3.17.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.17.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
3.17.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.17. Уничтожение ПД.
3.17.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
3.17.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
3.17.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
4. ПОРЯДОК СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
4.1. При посещении Пользователями официального сайта или при использовании ими мобильного приложения и сервисов Платформы для обеспечения работоспособности сервисов «vambuketik.by» и повышения качества оказываемых услуг, а также для исправления ошибок и улучшения работы сервисов, Оператор без цели идентифицировать конкретного пользователя осуществляет сбор и обработку нижеследующей технической информации:
4.1.1. IP-адрес;
4.1.2. Тип используемого мобильного устройства;
4.1.3. Операционная система устройства и тип браузера;
4.1.4. Уникальный идентификатор устройства;
4.1.5. Адрес ссылающихся веб-сайтов;
4.1.6. Путь, по которому пользователь проходит через официальный сайт;
4.1.7. Иная техническая информация, необходимая для достижения целей, указанных в п. 4.1. настоящей Политики.
4.2. При сборе и обработки технической информации, указанной в п. 4.1. настоящей Политики, Оператор использует нижеследующие технологии:
4.2.1. Файлы cookie, позволяющие Оператору предоставлять пользователям соответствующую информацию по мере использования ими официального сайта и мобильного приложения «vambuketik.by», в том числе при открытии и загрузке соответствующих страниц сервисов;
4.2.2. Веб-маяки, позволяющие Оператору получать информацию о посещении определённой страницы сервисов, о том, было ли открыто электронное письмо или оценить эффективность рекламных баннеров;
4.2.3. Идентификаторы мобильных устройств Пользователей.
4.3. Оператор принимает все необходимые и достаточные правовые, организационные и технические меры для обеспечения исполнения требований законодательства Республики Беларусь и локальных правовых актов Оператора в области сбора, обработки и защиты персональных данных и для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
4.3.1. Назначает лицо, ответственное за организацию и осуществление сбора, обработки и защиты персональных данных;
4.3.2. Утверждает локальные правовые акты, определяющие политику, цели, условия и все другие необходимые вопросы, регулирующие сбор, обработку и защиту персональных данных;
4.3.3. Все работники Оператора, осуществляющие сбор и обработку персональных данных, в обязательном порядке проходят соответствующее обучение и ознакомление с настоящей Политикой и локальными правовыми актами Оператора, а также с требованиями законодательства Республики Беларусь в области о сборе, обработке и защите персональных данных;
4.3.4. Размещает полный текст настоящей Политики на официальном сайте и в мобильном приложении Платформы «vambuketik.by», и обеспечивает доступ к данному документу для любого субъекта персональных данных;
4.3.5. Прекращает обработку персональных данных и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
4.3.6. Определяет угрозы безопасности персональных данных при их сборе и обработке в базе Платформы «vambuketik.by» и информационной базе Оператора.
4.3.7. Осуществляет необходимую техническую и криптографическую защиту персональных данных;
4.3.8. Проводит оценку эффективности мер, принимаемых для обеспечения безопасности персональных данных до момента ввода в эксплуатацию информационной базы персональных данных;
4.3.9. Принимает все необходимые меры защиты при обнаружении фактов несанкционированного доступа к персональным данным;
4.3.10. Восстанавливает персональные данные в случае их модификации или уничтожения вследствие несанкционированного доступа;
4.3.11. Устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе (базе) персональных данных;
4.3.12. Обеспечивает регистрацию и учёт всех действий, совершаемых с персональными данными в информационной базе персональных данных;
4.3.13. Обеспечивает контроль за мерами, принимаемыми для безопасности персональных данных и уровня защищенности информационных баз персональных данных;
4.3.14. Проводит учёт машинных носителей персональных данных;
4.3.15. Проводит мониторинг действий пользователей;
4.3.16. Проводит служебные расследования по всем фактам нарушения требований безопасности персональных данных;
4.3.17. Совершает иные необходимые действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
4.4. Оператор уничтожает или обезличивает персональные данные при достижении целей сбора и обработки, а также в случае, когда необходимость достижения целей сбора и обработки Оператором утрачена.
4.5. Сбор и обработка персональных данных на бумажных носителях без использования средств автоматизации осуществляется Оператором в следующем порядке:
4.5.1. Определяется место хранения персональных данных для каждой категории субъектов;
4.5.2. Устанавливается перечень лиц, имеющих доступ к персональным данным и осуществляющих их обработку;
4.5.3. Обеспечивается раздельное хранение бумажных носителей персональных данных с различными целями обработки;
4.5.4. Соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В случаях, когда это прямо не запрещено законодательством Республики Беларусь, Оператор вправе передавать персональные данные третьим лицам: поставщикам услуг хостинга, поставщикам заказов Платформы, поставщикам товаров и услуг доставки, поставщикам услуг по выставлению счетов и возврату средств, банкам, платежным системам, процессорам платежных карт, сотрудникам контактных центров по работе с покупателями, поставщикам и разработчикам IT- услуг, и другим лицам на основании заключённых с Оператором договоров при соблюдении условий, указанных в настоящей Политике и в соответствии с действующим законодательствам Республики Беларусь.
5.2. Третьи лица, указанные в п.5.1. настоящей политики, соблюдают принципы и правила сбора, обработки и защиты персональных данных, предусмотренные законом «О персональных данных» и иными нормативными правовыми актами Республики Беларусь. Для каждого третьего лица, получающего персональные данные, в заключаемом с ними Оператором договоре определяются цели обработки персональных данных, перечень действий, которые будут совершаться третьим лицом с персональными данными, обязанности по соблюдению конфиденциальности персональных данных и меры по обеспечению защиты персональных данных.
5.3. В случаях, установленных законодательством Республики Беларусь, Оператор вправе осуществлять трансграничную передачу персональных данных.
6.ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъекты, персональные данные которых обрабатываются в Компании, имеют право получить информацию относительно персональных данных, обрабатываемых Компании
– получать полную информацию о своих персональных данных;
– иметь свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и они не должны содержать персональных данных, относящиеся к другим субъектам персональных данных. Доступ к своим персональным данным предоставляется субъекту персональных данных или его представителю при личном обращении, либо при получении соответствующего запроса;
– требовать уточнения, исключения или исправления неполных, неверных, устаревших, неточных, незаконно полученных, или не являющихся необходимыми для заявленной цели обработки персональных данных, а также принимать предусмотренные законом меры по защите своих прав;
– требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, о всех произведенных в них исключениях, исправлениях или дополнениях;полностью или частично отозвать данное согласие на обработку персональных данных;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
6.2. Субъект вправе направить собственноручно подписанное соответствующее заявление Оператору в письменной форме по адресу: Беларусь, Могилёв, Ленинская 46 или в электронной форме, подписанное электронной цифровой подписью и направленное в адрес электронной почты vambuketik2018@gmail.com
7.ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Все вопросы непредусмотренные и неурегулированные в настоящей Политике, разрешаются в соответствии с действующим законодательством Республики Беларусь.
7.2. Настоящая Политика вступает в силу с момента подписания приказа о введении в действие настоящей политики и распространяется на все персональные данные субъектов, собираемые и обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.
7.3. Настоящая Политика, размещённая на официальном сайте Оператора, является общедоступным документом для любого субъекта персональных данных.
7.4. Оператор вправе в одностороннем порядке вносить изменения и дополнения в условия настоящей Политики, размещенной на официальном сайте или утверждать и размещать новую редакцию Политики в отношении сбора, обработки и защиты персональных данных. Если иное не предусматривается Политикой, все вносимые в её текст изменения и дополнения вступают в силу с даты, указанной в настоящем документе при его размещении для общего доступа.
7.5. Субъекты персональных данных обязаны самостоятельно ознакомиться с текстом настоящей Политики, в той актуальной редакции, которая размещена на момент действующих или предполагаемых взаимоотношений с Оператором и использования официального сайта.