Палітыка апрацоўкі персанальных дадзеных
ПАЛIТЫКА ў дачыненні да апрацоўкі персанальных дадзеных кліентаў, контрагентаў і супрацоўнікаў (былых супрацоўнікаў) УП «Дыпмаркет»
1. Агульныя палажэнні
1.1. Сапраўдная палітыка гандлёвага рэспубліканскага унітарнага прадпрыемства «Дыпмаркет» (далей – Аператар) у дачыненні да апрацоўкі персанальных дадзеных (далей – Палітыка) распрацавана ў адпаведнасці з Канстытуцыяй Рэспублікі Беларусь, Законам Рэспублікі Беларусь ад 07.05.2021 г. №99-З «Аб абароне персанальных дадзеных» (далей – Закон аб персанальных дадзеных) і іншым заканадаўствам Рэспублікі Беларусь, у мэтах забеспячэння абароны персанальных дадзеных, правоў і свабод фізічных асоб пры апрацоўцы іх персанальных дадзеных.
1.2. Палітыка дзейнічае ў адносінах да персанальных дадзеных, якія апрацоўвае Аператар.
1.3. Палітыка дзейнічае ў дачыненні да персанальных дадзеных, якія могуць быць атрыманы ад кліентаў і партнёраў – суб’ектаў персанальных дадзеных (далей – Суб’екты) падчас ажыццяўлення працоўнай дзейнасці і якія падалі персанальныя дадзеныя іншым шляхам.
1.4. Палітыка распаўсюджваецца на адносіны ў галіне апрацоўкі персанальных дадзеных, якія ўзніклі ў Аператара як да, так і пасля зацвярджэння Палітыкі.
1.5. Сапраўдная Палітыка публікуецца ў вольным доступе ў інфармацыйна-тэлекамунікацыйнай сетцы Інтэрнэт на сайце Аператара.
1.6. У тэксце Палітыкі выкарыстоўваюцца асноўныя тэрміны, вызначаныя ў адпаведнасці з Законам аб персанальных дадзеных.
2. Паняцці, якія выкарыстоўваюцца ў Палітыцы
2.1. Аператар (адрас месцазнаходжання: 220029, г. Мінск, вул. Куйбышава, 16).
2.2. Аўтаматызаваная апрацоўка персанальных дадзеных – апрацоўка персанальных дадзеных з дапамогай сродкаў вылічальнай тэхнікі.
2.3. Інфармацыйная сістэма – сукупнасць персанальных дадзеных, якія змяшчаюцца ў базах дадзеных і забяспечваюць іх апрацоўку інфармацыйных тэхналогій і тэхнічных сродкаў.
2.4. Персанальныя дадзеныя – любая інфармацыя, якая адносіцца да ідэнтыфікаванай фізічнай асобы або фізічнай асобы, якая можа быць ідэнтыфікавана.
2.5. Суб’ект персанальных дадзеных – фізічная асоба, да якой адносяцца апрацоўваныя Аператарам персанальныя дадзеныя, у тым ліку фізічная асоба, якая не з’яўляецца работнікам Аператара, да якой адносяцца апрацоўваныя Аператарам персанальныя дадзеныя.
2.6. Апрацоўка персанальных дадзеных – любое дзеянне або сукупнасць дзеянняў, якія здзяйсняюцца з персанальнымі дадзенымі, уключаючы збор, сістэматызацыю, захоўванне, змяненне, выкарыстанне, абязлічванне, блакіраванне, распаўсюджванне, прадастаўленне, выдаленне персанальных дадзеных.
2.7. Апрацоўка персанальных дадзеных без выкарыстання сродкаў аўтаматызацыі – дзеянні з персанальнымі дадзенымі, такія як выкарыстанне, удакладненне, распаўсюджванне, знішчэнне, якія ажыццяўляюцца пры непасрэдным удзеле чалавека, калі пры гэтым забяспечваецца пошук персанальных дадзеных і (або) доступ да іх па пэўных крытэрыях (картатэкі, спісы, базы дадзеных, часопісы і інш.).
2.8. Распаўсюджанне персанальных дадзеных – дзеянні, накіраваныя на азнаямленне з персанальнымі дадзенымі нявызначанага круга асоб.
2.9. Прадастаўленне персанальных дадзеных – дзеянні, накіраваныя на азнаямленне з персанальнымі дадзенымі пэўнай асобы або кола асоб.
2.10. Блакаванне персанальных дадзеных – спыненне доступу да персанальных дадзеных без іх выдалення.
2.11 Выдаленне персанальных дадзеных – дзеянні, у выніку якіх становіцца немагчымым аднавіць персанальныя дадзеныя ў інфармацыйных рэсурсах (сістэмах), якія змяшчаюць персанальныя дадзеныя, і (або) у выніку якіх знішчаюцца матэрыяльныя носьбіты персанальных дадзеных.
2.12. Абязлічванне персанальных дадзеных – дзеянні, у выніку якіх становіцца немагчымым без выкарыстання дадатковай інфармацыі вызначыць прыналежнасць персанальных дадзеных канкрэтнаму суб’екту персанальных дадзеных.
2.13. Трансмежавая перадача персанальных дадзеных – перадача персанальных дадзеных на тэрыторыю замежнай дзяржавы.
2.14. Фізічная асоба, якая можа быць ідэнтыфікавана – фізічная асоба, якая можа быць прама або ўскосна вызначана, у прыватнасці, праз прозвішча, уласнае імя, імя па бацьку, дату нараджэння, ідэнтыфікацыйны нумар або праз адну або некалькі прыкмет, характэрных для яго фізічнай, псіхалагічнай, разумовай, эканамічнай, культурнай ці сацыяльнай ідэнтычнасці.
3. Мэты апрацоўкі персанальных дадзеных і пералік персанальных дадзеных.
3.1. Апрацоўка персанальных дадзеных ажыццяўляецца ў адпаведнасці з Законам аб персанальных дадзеных у мэтах забеспячэння захавання Канстытуцыі Рэспублікі Беларусь, заканадаўчых і іншых нарматыўных прававых актаў Рэспублікі Беларусь, лакальных прававых актаў Прадпрыемства;
3.2. Для ажыццяўлення і выканання функцый, паўнамоцтваў і абавязкаў, ускладзеных заканадаўствам Рэспублікі Беларусь і міжнароднымі дамовамі Рэспублікі Беларусь на Аператара, у тым ліку па прадастаўленні персанальных дадзеных у органы дзяржаўнай улады, у Фонд сацыяльнай абароны насельніцтва Міністэрства працы і сацыяльнай абароны Рэспублікі Беларусь, а таксама ў іншыя дзяржаўныя органы (такія як арганізацыя пастаноўкі на індывідуальны (персаніфікаваны) улік работнікаў у сістэме абавязковага пенсіённага страхавання; запаўненне і перадача ў органы выканаўчай улады і іншыя ўпаўнаважаныя арганізацыі патрэбных форм справаздачнасці, выкананне абавязку падатковага агента і інш.).
3.3. Для абароны жыцця, здароўя ці іншых жыццёва важных інтарэсаў суб’ектаў персанальных звестак.
3.4. Для разгляду магчымасці працаўладкавання кандыдатаў Аператару, выяўлення канфлікту інтарэсаў, вядзення кадравага рэзерву, праверкі кандыдатаў (у тым ліку іх кваліфікацыі і вопыту работы), рэгулявання працоўных адносін з работнікамі (садзейнічання ў працаўладкаванні, навучання і прасоўвання па службе, забеспячэння асабістай бяспекі, кантролю колькасці і якасці работы, забеспячэння захаванасці маёмасці), вядзення кадравага справаводства, вядзення бухгалтарскага ўліку, прадастаўлення сваякам работнікаў ільгот і кампенсацый, арганізацыі і суправаджэння дзелавых паездак, забеспячэння бяспекі, захавання матэрыяльных каштоўнасцей і прадухілення правапарушэнняў, выдачы даверанасцей і іншых упаўнаважвальных дакументаў, праверкі контрагента, вядзенне перагавораў, падрыхтоўкі, заключэння, выканання і спынення дагавораў з контрагентамі (ажыццяўлення грамадзянска-прававых адносін), ажыццяўлення прапускнога рэжыму, фарміравання даведачных матэрыялаў для ўнутранага інфармацыйнага забеспячэння дзейнасці Аператара і карпаратыўных зносін.
3.5. Для выканання судовых актаў, актаў іншых органаў або службовых асоб, якія падлягаюць выкананню ў адпаведнасці з заканадаўствам Рэспублікі Беларусь аб выканаўчым вядзенні.
3.6. Для ажыццяўлення правоў і законных інтарэсаў Аператара ў рамках ажыццяўлення сваёй дзейнасці ў адпаведнасці са Статутам і іншымі лакальнымі прававымі актамі, або дасягнення Аператарам значных мэт – правядзення акцый (у тым ліку рэкламных), апытанняў, інтэрв’ю, тэставанняў з дапамогай сайта і сэрвісаў Аператара, прадастаўлення суб’ектам персанальных дадзеных інфармацыі аб дзейнасці Аператара, рэкламы і прасоўвання прадукцыі, тавараў, работ, паслуг, апрацоўкі зваротаў і запытаў ад суб’ектаў персанальных дадзеных, рэгістрацыі і абслугоўвання карыстальнікаў на сайце Аператара, правядзення мерапрыемстваў і забеспячэння ўдзелу ў іх суб’ектаў персанальных дадзеных.
3.7. Для іншых мэт, якія не супярэчаць заканадаўству Рэспублікі Беларусь.
3.8. Персанальныя дадзеныя апрацоўваюцца выключна для дасягнення адной або некалькіх названых законных мэт. Калі персанальныя дадзеныя былі сабраны і апрацоўваюцца для дасягнення вызначанай мэты, для выкарыстання гэтых дадзеных у іншых мэтах ставіцца ў вядомасць аб гэтым суб’ект персанальных дадзеных і ў выпадку неабходнасці атрымліваецца новая згода на апрацоўку.
4. Дзеянні, якія ажыццяўляюцца з персанальнымі дадзенымі
4.1 Апрацоўка персанальных дадзеных ажыццяўляецца са згоды Суб’екта персанальных дадзеных на апрацоўку яго персанальных дадзеных, а таксама без такой згоды ў выпадках, прадугледжаных заканадаўствам Рэспублікі Беларусь.
4.2. Аператар без згоды Суб’екта персанальных звестак не раскрывае трэцім асобам і не распаўсюджвае персанальныя дадзеныя, калі іншае не прадугледжана заканадаўствам Рэспублікі Беларусь.
4.3. Да апрацоўкі персанальных дадзеных дапускаецца работнікі Аператара, у службовыя абавязкі якіх уваходзіць апрацоўка персанальных дадзеных.
4.4. Аператар апрацоўвае персанальныя дадзеныя Суб’екта шляхам:
атрымання персанальных дадзеных у вуснай і пісьмовай форме (у тым ліку шляхам запаўнення анкет) непасрэдна ад суб’екта персанальных дадзеных;
атрымання персанальных дадзеных з агульнадаступных крыніц;
унясення персанальных дадзеных суб’ектам самастойна ў спецыяльныя формы, размешчаныя на сайце Аператара.
4.5. Аператар ажыццяўляе збор (атрыманне), апрацоўку (запіс, сістэматызацыю, назапашванне, удакладненне, абнаўленне, змяненне, выманне, выкарыстанне), захоўванне, перадачу (распаўсюджванне, прадастаўленне доступу), знішчэнне (абезлічванне, блакіраванне, выдаленне) персанальных дадзеных у мэтах, указаных у Палітыцы.
4.6. Персанальныя дадзеныя могуць захоўвацца на папяровых носьбітах, у форме камп’ютарных файлаў, у Інфармацыйных сістэмах Аператара.
4.7. Аператар ажыццяўляе апрацоўку персанальных дадзеных з выкарыстаннем сродкаў аўтаматызацыі і без выкарыстання такіх сродкаў, а таксама змяшанай выявай, у т.л. у інфармацыйна-тэлекамунікацыйных сетках, у мэтах, указаных у Палітыцы.
4.8. Аператар прымае неабходныя меры па выдаленні або ўдакладненні няпоўных або недакладных дадзеных.
4.9. Аператар мае права даручыць апрацоўку персанальных дадзеных ад імя Аператара або ў яго інтарэсах упаўнаважанай асобе на падставе заключаецца з гэтай асобай дагавора. Дагавор павінен змяшчаць:
мэты апрацоўкі персанальных дадзеных;
пералік дзеянняў, якія будуць здзяйсняцца з персанальнымі дадзенымі ўпаўнаважанай асобай;
абавязкі па выкананні канфідэнцыйнасці персанальных дадзеных;
меры па забеспячэнні абароны персанальных дадзеных у адпаведнасці з законам аб персанальных дадзеных.
4.10. У выпадку, калі Аператар даручае апрацоўку персанальных дадзеных іншай асобе, адказнасць перад Суб’ектам персанальных дадзеных за дзеянні названай асобы нясе Аператар. Асоба, якая ажыццяўляе апрацоўку персанальных дадзеных па даручэнні аператара, нясе адказнасць перад Аператарам.
5. Меры па забеспячэнні абароны персанальных дадзеных
5.1. Аператар прымае прававыя, арганізацыйныя і тэхнічныя меры па забеспячэнні абароны персанальных дадзеных ад несанкцыянаванага або выпадковага доступу да іх, змянення, блакіравання, капіравання, распаўсюджвання, прадастаўлення, выдалення персанальных дадзеных, а таксама ад неправамерных дзеянняў адносна персанальных дадзеных.
5.2. Меры, неабходныя і дастатковыя для забеспячэння выканання аператарам абавязкаў, прадугледжаных заканадаўствам Рэспублікі Беларусь у галіне персанальных дадзеных, уключаюць:
прадастаўленне Суб’ектам персанальных дадзеных неабходнай інфармацыі для атрымання іх згоды на апрацоўку персанальных дадзеных;
тлумачэнне Суб’ектам персанальных дадзеных іх правоў, звязаных з апрацоўкай персанальных дадзеных;
атрыманне пісьмовых згод Суб’екта персанальных дадзеных на апрацоўку іх персанальных дадзеных, за выключэннем выпадкаў, прадугледжаных заканадаўствам Рэспублікі Беларусь;
прызначэнне структурнага падраздзялення або асобы, адказнай за ўнутраны кантроль за апрацоўкай персанальных дадзеных у Аператара;
выданне дакументаў, якія вызначаюць палітыку Аператара ў адносінах да апрацоўкі персанальных дадзеных;
устанаўленне парадку доступу да персанальных дадзеных, у тым ліку апрацоўваных у Інфармацыйнай сістэме;
ажыццяўленне тэхнічнай і крыптаграфічнай абароны персанальных дадзеных у Аператара ў парадку, устаноўленым Аператыўна-аналітычным цэнтрам пры Прэзідэнце Рэспублікі Беларусь, у адпаведнасці з класіфікацыяй інфармацыйных рэсурсаў (сістэм), якія змяшчаюць персанальныя дадзеныя;
забеспячэнне неабмежаванага доступу, у тым ліку з выкарыстаннем глабальнай камп’ютарнай сеткі Інтэрнэт, да дакументаў, якія вызначаюць палітыку Аператара адносна апрацоўкі персанальных дадзеных, да пачатку такой апрацоўкі;
спыненне апрацоўкі персанальных дадзеных пры адсутнасці падстаў для іх апрацоўкі;
неадкладнае апавяшчэнне ўпаўнаважанага органа па абароне правоў Суб’екта персанальных дадзеных аб парушэннях сістэм абароны персанальных дадзеных;
змяненне, блакіраванне, выдаленне несапраўдных або атрыманых незаконным шляхам персанальных дадзеных;
абмежаванне апрацоўкі персанальных дадзеных дасягненнем канкрэтных, загадзя заяўленых законных мэт;
захоўванне персанальных дадзеных у форме, якая дазваляе ідэнтыфікаваць Суб’ектаў персанальных дадзеных, не даўжэй, чым гэтага патрабуюць заяўленыя мэты апрацоўкі персанальных дадзеных;
5.3. Меры па забеспячэнні бяспекі персанальных дадзеных пры іх апрацоўцы ў Інфармацыйных сістэмах устанаўліваюцца ў адпаведнасці з лакальнымі прававымі актамі Аператара, якія рэгламентуюць пытанні забеспячэння бяспекі персанальных дадзеных пры іх апрацоўцы ў Інфармацыйных сістэмах Аператара.
6. Правы суб’екта персанальных дадзеных
6.1. Суб’ект персанальных дадзеных мае права:
Атрымліваць інфармацыю, якая датычыцца апрацоўкі яго персанальных дадзеных, за выключэннем выпадкаў, прадугледжаных заканадаўствам. Звесткі прадастаўляюцца Суб’екту персанальных дадзеных Аператарам у даступнай форме, і ў іх не павінны змяшчацца персанальныя дадзеныя, якія адносяцца да іншых суб’ектаў персанальных дадзеных, за выключэннем выпадкаў, калі ёсць законныя падставы для раскрыцця такіх персанальных дадзеных. Пералік інфармацыі і парадак яе атрымання ўстаноўлены Законам аб персанальных дадзеных:
патрабаваць у Аператара ўдакладнення яго персанальных дадзеных у выпадку, калі персанальныя дадзеныя з’яўляюцца няпоўнымі, састарэлымі, недакладнымі;
атрымліваць інфармацыю аб прадастаўленні яго персанальных дадзеных трэцім асобам, за выключэннем выпадкаў, прадугледжаных заканадаўствам Рэспублікі Беларусь;
у любы час без тлумачэння прычын адклікаць сваю згоду на апрацоўку персанальных дадзеных;
патрабаваць ад Аператара блакіроўкі або выдалення яго персанальных дадзеных, калі яны незаконна атрыманы або не з’яўляюцца неабходнымі для заяўленай мэты апрацоўкі, а таксама прымаць прадугледжаныя законам меры па абароне сваіх правоў;
абскардзіць дзеянні (бяздзеянне) і рашэнне Аператара, якія парушаюць яго правы пры апрацоўцы персанальных дадзеных, ва ўпаўнаважаны орган па абароне правоў суб’ектаў персанальных дадзеных у парадку, устаноўленым заканадаўствам аб зваротах грамадзян і юрыдычных асоб.
6.2. Суб’ект персанальных дадзеных для рэалізацыі правоў, прадугледжаных заканадаўствам, падае заяву Аператару ў пісьмовай форме або ў выглядзе электроннага дакумента.
6.3. Заява павінна змяшчаць:
прозвішча, уласнае імя, імя па бацьку (калі такое ёсць) Суб’екта персанальных дадзеных;
адрас яго месца жыхарства (месца знаходжання);
дату нараджэння Суб’екта персанальных дадзеных;
выкладу сутнасці патрабаванняў Суб’екта персанальных дадзеных;
асабісты подпіс або электронны лічбавы подпіс Суб’екта персанальных дадзеных;
6.4. Заява ў пісьмовай форме накіроўваецца па месцы знаходжання аператара.
6.5. Заява ў форме электроннага дакумента, падпісаная электронным лічбавым подпісам у адпаведнасці з заканадаўствам Рэспублікі Беларусь, накіроўваецца па электроннай пошце info@dipmarket.by.
6.6. Калі ў заяве Суб’екта персанальных дадзеных не адлюстраваны ў адпаведнасці з патрабаваннямі Закона аб персанальных дадзеных усе неабходныя звесткі або Суб’ект не валодае правамі доступу да запытанай інфармацыі, то яму накіроўваецца матываваная адмова. Суб’екту персанальных дадзеных можа быць адмоўлена ў прадастаўленні інфармацыі ў адпаведнасці з п. 3 Ст.11 Закона аб персанальных дадзеных.
6.7. У выпадку выяўлення недакладных персанальных дадзеных пры звароце Суб’екта персанальных дадзеных або па яго заяве або запыце Аператар ажыццяўляе блакаванне персанальных дадзеных, якія адносяцца да гэтага суб’екта персанальных дадзеных, з моманту атрымання названай заявы або запыту на перыяд праверкі.
У выпадку пацвярджэння факта недакладнасці персанальных дадзеных Аператар на падставе звестак, прадстаўленых Суб’ектам персанальных дадзеных або ўпаўнаважаным органам па абароне правоў суб’ектаў персанальных дадзеных або iншых неабходных дакументау удакладняе (змяняе) персанальныя дадзеныя на працягу 15 дзён з дня прадстаўлення такіх звестак і здымае блакаванне персанальных дадзеных.
6.8. У выпадку выяўлення неправамернай апрацоўкі персанальных дадзеных пры атрыманні заявы Суб’екта апрацоўкі персанальных дадзеных або запыту ўпаўнаважанага органа па абароне правоў суб’ектаў персанальных дадзеных Аператар ажыццяўляе блакіраванне неправамерна апрацоўваных персанальных дадзеных, якія адносяцца да гэтага Суб’екта персанальных дадзеных, з моманту такога звароту або атрымання заявы (запыту).
6.9. Пры дасягненні мэты апрацоўкі персанальных дадзеных, а таксама ў выпадку адклікання суб’ектам персанальных дадзеных згоды на іх апрацоўку персанальныя дадзеныя падлягаюць выдаленню, калі іншае не прадугледжана іншым пагадненнем паміж аператарам і Суб’ектам персанальных дадзеных або заканадаўствам.
7. Заключныя палажэнні
7.1. Сапраўдная Палітыка дзейнічае бестэрмінова да замены яе новай версіяй.
