Общество с ограниченной ответственностью «Вектор фитнеса»

УТВЕРЖДЕНО Управляющим ООО «Вектор фитнеса»   ______________/ ______________ / (подпись) 06.02.2023

 

 

 

ПОЛИТИКА ООО «Вектор фитнеса»

в отношении обработки персональных данных

 

1. ОБЩИЕ ПОЛОЖЕНИЯ
   • Политика ООО «Вектор фитнеса» (далее – Общество) в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и иных актов законодательства Республики Беларусь.
   • Настоящая Политика является локальным правовым актом Общества, и определяет:

• порядок обработки Обществом персональных данных физических лиц;
• порядок предоставления и распространения Обществом персональных данных третьим лицам.
  • В Политике применяются следующие термины и определения:
• биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
• блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
• общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
• оператор – Общество, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных;
• персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
• предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
• распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
• специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
• субъект – физическое лицо, в отношении которого осуществляется обработка персональных данных;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
• удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
• уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с Обществом осуществляют обработку персональных данных от имени Общества или в его интересах;
• физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

 

2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
   • Обработка персональных данных осуществляется Обществом в соответствии с настоящей Политикой и актами законодательства.

Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.

• Обществом устанавливаются следующие цели обработки персональных данных:
  • при оформлении трудовых (гражданско-правовых) отношений между Обществом и субъектом персональных данных и в процессе трудовой (гражданско-правовой) деятельности таких субъектов;
  • при установлении режимов доступа в помещения Общества, фиксации перемещения физических лиц по помещениям Общества;
  • для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
  • для выполнения обязанностей (полномочий), предусмотренных законодательными актами (работа с обращениями, иное);
  • для реализации услуг, производимых Обществом;
• Для целей, указанных в п. 2.2. настоящей политики, Обществом обрабатываются следующие персональные данные,
  • при оформлении трудовых (гражданско-правовых) отношений между Обществом и субъектом персональных данных и в процессе трудовой (гражданско-правовой) деятельности таких субъектов:

– фамилия, имя и отчество (при наличии);

 – адрес места регистрации и/или проживания;

– данные, содержащиеся в документе, удостоверяющем личность;

– данные, содержащиеся в документе о воинском учете;

– данные, содержащиеся в документе об образовании;

– данные, содержащиеся в трудовой книжке;

– данные, содержащиеся в автобиографии и характеристики с предыдущих мест работы;

– данные, полученные для формирования личного дела;

– данные, содержащиеся в страховом свидетельстве и других документах, подтверждающих обстоятельства, имеющие отношение к работе, предъявление которых предусмотрено законодательными актами;

– номер телефона;

– адрес электронной почты.

• при установлении режимов доступа в помещения Общества, фиксации перемещения физических лиц по помещениям Общества:

– фамилия, имя и отчество;

– адрес места регистрации и/или проживания;

– биометрические данные (фото/изображение лица субъекта персональных данных).

• для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования:

– доступные Обществу сведения, составляющие сведения о застрахованных лицах в соответствии с законодательством о индивидуальном (персонифицированном) учете.

• для выполнения обязанностей (полномочий), предусмотренных законодательными актами (работа с обращениями, иное):

– фамилия, имя и отчество;

– адрес места регистрации и/или проживания;

– электронная почта.

• для реализации товаров и услуг, производимых Обществом:

– фамилия, имя отчество (при наличии);

– номер мобильного телефона;

– адрес электронной почты;

– информация о покупках, совершенных на Сайте (Интернет-ресурсе) Общества;

– биометрические данные (фото/изображение лица субъекта персональных данных).

• В случаях, установленных актами законодательства, обработка персональных данных осуществляется с согласия Субъекта.
• Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.

В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие Субъекта на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных актами законодательства.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

• Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных настоящим Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных.
• Общество обязано принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их.
• Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

 

3. Согласие субъекта персональных данных
   • Согласие Субъекта представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

Согласие Субъекта может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

В иной электронной форме согласие Субъекта может быть получено посредством:

• указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
• проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
• других способов, позволяющих установить факт получения согласия субъекта персональных данных.
  • До получения согласия субъекта персональных данных Общество в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязано предоставить субъекту персональных данных информацию, содержащую:
• наименование и место нахождения Общества;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• срок, на который дается согласие Субъекта;
• информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие Субъекта, общее описание используемых Обществом способов обработки персональных данных;
• иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.

До получения согласия Субъекта Общество обязано простым и ясным языком разъяснить Субъекту его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия Субъекта или отказа в даче такого согласия. Эта информация должна быть предоставлена Обществом Субъекта в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

• Субъект при даче своего согласия Обществу указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность, за исключением случая, предусмотренного частью второй настоящего пункта.

Если цели обработки персональных данных не требуют обработки информации, указанной в части первой настоящего пункта, эта информация не подлежит обработке Обществом при получении согласия Субъекта.

• Обязанность доказывания получения согласия Субъекта возлагается на Оператора.

 

4. Обработка специальных персональных данных. Трансграничная передача персональных данных
   • Общество осуществляет обработку специальных персональных данных исключительно для целей, указанных в подп. 2.2.1 п. 2.2. настоящей Политики.

Обработка биометрических персональных данных возможна Обществом также для целей, указанных в подп. 2.2.1 п. 2.2. настоящей Политики.

• Обработка специальных, в том числе биометрических персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
• Общество осуществляет трансграничную передачу персональных данных если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев установленных законодательством.

 

5. Права субъекта персональных данных
   • Субъект обладает следующими правами:
     • право на отзыв согласия

Субъект вправе в любое время без объяснения причин отозвать свое согласие посредством подачи Обществу заявления в соответствии с п. 5.4. настоящей Политики, либо в форме, посредством которой получено его согласие.

Общество обязано в пятнадцатидневный срок после получения заявления Субъекта в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом Субъекта, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательными актами.

При отсутствии технической возможности удаления персональных данных Общество обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом Субъекта в тот же срок.

Окончание срока действия договора, в соответствии с которым осуществлялась обработка персональных данных, или его расторжение влекут последствия аналогичные получению отзыва согласия, если иное не предусмотрено этим договором или актами законодательства.

Отзыв согласия Субъекта не имеет обратной силы, то есть обработка персональных данных до ее прекращения не является незаконной.

• Право на получение информации, касающейся обработки персональных данных, и изменение персональных данных

Субъект имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

• наименование и место нахождения Общества;
• подтверждение факта обработки персональных данных Обществом (уполномоченным лицом);
• его персональные данные и источник их получения;
• правовые основания и цели обработки персональных данных;
• срок, на который дано его согласие;
• наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
• иную информацию, предусмотренную законодательством.

Для получения вышеуказанной информации Субъект подает Обществу заявление в соответствии с п. 5.4. настоящей Политики. При этом Субъект не должен обосновывать свой интерес к запрашиваемой информации.

Общество обязано в течение пяти рабочих дней после получения соответствующего заявления Субъекта, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, указанную в подп. 5.1.2. п. 5.1. настоящей Политики, либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация Субъекту бесплатно, за исключением случаев, предусмотренных законодательными актами.

• Информация, указанная в подп. 5.1.2. п. 5.1. настоящей Политики, не предоставляется:

• если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;
• в иных случаях, предусмотренных законодательными актами.
  • Субъект персональных данных вправе требовать от Общества внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает оператору заявление в соответствии с п. 5.4. настоящей Политики, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.

Общество обязано в пятнадцатидневный срок после получения заявления Субъекта внести соответствующие изменения в его персональные данные и уведомить об этом Субъекта либо уведомить Субъекта о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

• Право на получение информации о предоставлении персональных данных третьим лицам
  • Субъект вправе получать от Общества информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательными актами.

Для получения вышеуказанной информации Субъект подает заявление Обществу в порядке, установленном п. 5.4. настоящей Политики.

Общество обязано в пятнадцатидневный срок после получения заявления Субъекта предоставить ему информацию о том, какие персональные данные этого Субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить Субъекта о причинах отказа в ее предоставлении.

Вышеуказанная информация, может не предоставляться в случаях, предусмотренных в подп. 5.1.3. п. 5.1. настоящей Политики.

• Право требовать прекращения обработки персональных данных и (или) их удаления
  • Субъект вправе требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами.

Для реализации указанного права субъект персональных данных подает Обществу заявление в соответствии с п. 5.4. настоящей Политики.

Общество в случае, предусмотренном абзацем первым настоящего подпункта, обязано в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных.

При отсутствии технической возможности удаления персональных данных Общество обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

• Общество вправе отказать Субъекту в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом Субъекта в пятнадцатидневный срок.

• Порядок подачи заявления субъектом персональных данных Обществу

Субъект вправе подать Обществу заявление в письменной форме либо в виде электронного документа.

Такое заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

• Право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных

Субъект обжаловать действия (бездействие) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано Субъектом в суд в порядке, установленном законодательством.

 

6. Обязанности оператора
   • Оператор обязан:

• разъяснять Субъекту его права, связанные с обработкой персональных данных;
• получать согласие Субъекта, за исключением случаев, предусмотренных законодательными актами;
• обеспечивать защиту персональных данных в процессе их обработки;
• предоставлять Субъекта информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами;
• вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
• прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных иными законодательными актами;
• уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Обществу стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
• осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных Субъекта по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
• исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
• выполнять иные обязанности, предусмотренные законодательными актами.

 

7. Меры по обеспечению защиты персональных данных
   • Общество обязано принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
   • Для защиты персональных данных Обществом принимаются следующие меры:

• назначение лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;
• ведение реестров обработки;
• разработка и доведение до сведения всех заинтересованных лиц настоящей Политики и иных документов Общества в отношении обработки персональных данных;
• ознакомление работников Общества и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, настоящей Политикой и иными документами Общества в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
• установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
• осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
  • Общество обязано обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Общества в отношении обработки персональных данных, до начала такой обработки.
  • Классификация информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных устанавливается уполномоченным органом по защите прав субъектов персональных данных.