Политика СООО «ГАЛЕРЕЯ КОНЦЕПТ»
в отношении обработки персональных данных
РАЗДЕЛ 1. ОБЩИЕ ПОЛОЖЕНИЯ
-
Политика в отношении обработки персональных данных в Совместном обществе с ограниченной ответственностью «ГАЛЕРЕЯ КОНЦЕПТ» (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых СООО «ГАЛЕРЕЯ КОНЦЕПТ» (далее — Оператор) персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также меры, принимаемые Оператором по обработке персональных данных.
-
Политика разработана в соответствии с Конституцией Республики Беларусь, Законом Республики Беларусь от 07.05.2021 №99-3 «О защите персональных данных» (далее Закон), иными законодательными и нормативными правовыми актами Республики Беларусь.
-
Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
-
Требования настоящей Политики обязательны для исполнения всеми работниками Оператора, получившими в установленном порядке доступ к обработке персональных данных.
-
Политика является общедоступной и размещается на сайте, принадлежащем СООО «ГАЛЕРЕЯ КОНЦЕПТ».
-
Основные понятия, используемые в Политике:
- блокирование персональных данных – частичное, либо полное прекращение доступа к персональным данным без их удаления;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
- оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
- персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
- предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
- пользователь – лицо, имеющее доступ к сайту посредством сети интернет и использующее сайт;
- распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
- сайт – интернет-сайт https://galleria-minsk.by, размещенный в сети интернет, а также иные сайты, принадлежащие СООО «ГАЛЕРЕЯ КОНЦЕПТ» (далее — сайт);
- специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
- субъект персональных данных (далее – Субъект) - физическое лицо, в отношении которого осуществляется обработка персональных данных;
- удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;
- уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
- физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
РАЗДЕЛ 2. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. Обработка персональных данных Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод Субъектов, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:7.1. обработка персональных данных осуществляется на законной и справедливой основе;
7.2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
7.3. обработка персональных данных осуществляется с согласия Субъекта, за исключением случаев, предусмотренных законодательными актами;
7.4. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки;
7.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки;
7.6. обработка персональных данных носит прозрачный характер. Субъекту в случаях, предусмотренных законодательством, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
7.7. хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
8. Персональные данные обрабатываются Оператором в целях:
8.1. обеспечения соблюдения Конституции, законодательных и иных нормативных правовых актов, локальных правовых актов Оператора;
8.2. осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь, в том числе оформление трудовых отношений, ведение кадрового делопроизводства, назначение пенсий, привлечение и отбор кандидатов на работу, по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
8.3. обеспечения реализации трудовых, социальных и информационных отношений с работниками Оператора;
8.4. подготовки, заключения, исполнения и прекращения гражданско-правовых договоров, включая договоры с договоры аренды, договоры хранения транспортных средств, договоры оказания рекламных услуг и др.;
8.5. составления различной отчетности, формирования справочных материалов для обеспечения деятельности Оператора (в том числе осуществления бухгалтерских, налоговых обязательств);
8.6. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
8.7. осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными правовыми актами Оператора, или третьих лиц либо достижения общественно значимых целей;
8.8. начисления/исчисления зарплаты, удержаний, исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
8.9. защиты прав и законных интересов Оператора и его должностных лиц в судах, органах, ведущих административный (уголовный) процесс, иных государственных органах;
8.10. предоставления работникам Оператора дополнительных гарантий и компенсаций;
8.11. ведения корпоративных телефонных и иных информационных справочников, публикации сообщений на внутрикорпоративных порталах, чатах и др.;
8.12. осуществления реализации товаров, работ, услуг, а также ее организации;
8.13. предоставления сопутствующих реализации товаров услуг и сервисов;
8.14. исполнения обязательств Оператора перед Субъектами;
8.15. осуществления маркетинговых мероприятий (акций, рекламных игр, конкурсов, программ поощрения, рекламных и иных мероприятий);
8.16. направления Субъекту персональных данных уведомлений, приглашений, коммерческих и иных предложений, сообщений информационного и рекламного характера;
8.17. проведения опросов, маркетинговых исследований, обработки полученной информации, в том числе с возможностью коммерческого использования результатов данных опросов;
8.18. обеспечения пропускного и внутриобъектового режимов на объектах Оператора, ведения учета аффилированных лиц;
8.19. в иных законных целях, вытекающий из требований законодательства.
РАЗДЕЛ 3. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ
9. Оператором могут обрабатываться персональные данные Субъектов:
9.1. лиц, являющихся пользователями сайта;
9.2. лиц, прошедших регистрацию на сайте;
9.3. лиц, являющихся работниками Оператора, их близких родственников;
9.4. уволенных работников Оператора, в том числе являющихся пенсионерами;
9.5. лиц, претендующих на трудоустройство;
9.6. лиц, проходящих, а также желающих пройти, учебную практику;
9.7. участников Оператора, его аффилированных лиц, бенефициарных владельцев;
9.8. лиц, с которыми Оператором планируются к заключению/заключены гражданско-правовые договоры;
9.9. лиц, подавших (подающих) обращения (заявления);
9.10. лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и отвечает требованиям, установленным законодательством;
9.11. других Субъектов для обеспечения реализации целей обработки, указанных в настоящей Политике.
РАЗДЕЛ 4. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
10. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Оператора с учетом целей обработки персональных данных, указанных в настоящей Политике.
11. В перечень обрабатываемых персональных данных входят, однако, не ограничиваются таковыми, следующие персональные данные лиц, перечисленных в перечне п.9
Политики:
11.1. фамилия, имя, отчество (при наличии);
11.2пол;
11.3. адрес места жительства/пребывания полный или частичный;
11.4. дата рождения;
11.5. адрес электронной почты, другие аккаунты в службах электронного обмена информацией;
11.6. контактные телефоны;
11.7. иные данные, указанные в договорах, соглашениях, анкетах, формах, веб-формах и прочих подобных документах, заполняемых либо предоставляемых Субъектом.
РАЗДЕЛ 5. СПОСОБЫ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Персональные данные, используемые (обрабатываемые) Оператором в рамках настоящей Политики, могут предоставляться Субъектом в случаях:
12.1. при приеме (оформлении) на работу;
12.2. при прохождении (оформлении) учебной практики в организации;
12.3. при заключении (планировании заключения) различного рода договоров;
12.4. при подаче обращений;
12.5. при заполнении регистрационной формы на бумажном носителе;
12.6. при использовании сайта, сервисов обмена сообщениями;
12.7. при входе в личный кабинет на сайте (авторизации);
12.8. при заполнении веб-формы в процессе регистрации на сайте (в личном кабинете);
12.9. при идентификации пользователя, зарегистрированного на сайте;
12.10. при установлении с пользователем сайта обратной связи, включая в том числе, но не исключительно, получение и обработка любых запросов и заявок, полученных от пользователя, в том числе в части технической поддержки при использовании сайта;
12.11. при участии в программе лояльности;
12.12. при проведении Оператором рекламных и иных подобных мероприятий, для передачи пользователю информации о товарах, акциях, бонусных программах, специальных предложениях и иных новостях Оператора посредством любого рода мессенджеров, служб обмена сообщения, в том числе электронной почты.
12.13. обработки статистической информации;
12.14. направления уведомлений, информации и запросов, связанных со сбором, хранением и обработкой персональных данных, подтверждения достоверности и полноты персональных данных, предоставленных Пользователем;
12.15. предоставления Пользователю по электронной почте или иными доступными способами, с его согласия, иных сведений/уведомлений от имени сайта.
РАЗДЕЛ 6. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
13. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных, перечисленных в настоящей Политике.
14. Согласие на сбор и обработку персональных данных Субъект дает в момент предоставления персональных данных.
15. Перед получением согласия Субъекту разъясняются его права, связанные с обработкой персональных данных.
16. Пользователь, предоставляющий персональные данные, предоставляет Оператору право получать, хранить, обрабатывать, использовать и раскрывать персональные данные на условиях Политики конфиденциальности.
17. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством и локальными правовыми актами Оператора.
РАЗДЕЛ 7. УСЛОВИЯ, СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
18. Персональные данные обрабатываются Оператором с согласия Субъекта на обработку его персональных данных, если иное не предусмотрено законодательством.
19. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия Субъекта, если иное не предусмотрено законодательством.
20. К обработке персональных данных допускаются работники Оператора, непосредственно осуществляющие обработку персональных данных.
21. Оператор вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
В случае, если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед Субъектом за действия уполномоченного лица несет Оператор. Уполномоченное лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
22. Оператор осуществляет обработку персональных данных с использованием средств автоматизации либо без использования средств автоматизации.
23. Оператор осуществляет обработку персональных данных, которая может заключаться в любом действии или совокупности действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
24. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
24.1.определяет угрозы безопасности персональных данных при их обработке;
24.2. принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
24.3. назначает лиц, ответственных за контроль по обработке персональных данных;
24.4. создает необходимые условия для работы с персональными данными;
24.5. организует учет документов, содержащих персональные данные;
24.6. при необходимости организует работу с информационными системами, в которых обрабатываются персональные данные;
24.7. хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
24.8. в случаях, предусмотренных законодательством, организует обучение работников Оператора, осуществляющих обработку персональных данных.
РАЗДЕЛ 8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА
25. Субъект вправе:
25.1. требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
25.2. требовать от Оператора бесплатного как частичного, так и полного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
25.3. в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном законодательством. Оператор в пятнадцатидневный срок после получения заявления Пользователя в соответствии с его содержанием прекращает обработку персональных данных, осуществляет их удаление и уведомляет об этом Пользователя, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательными актами Республики Беларусь. При отсутствии технической возможности удаления персональных данных Оператор принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомляет об этом Субъекта в тот же срок.
25.4. Для реализации прав, предусмотренных Разделом 7 настоящей Политики, Субъект направляет Оператору заявление в письменной форме в адрес Оператора (заказной почтовой корреспонденцией или нарочно) по адресу: г. Минск, пр.Победителей, д.9, 7 этаж, каб. 2.
26. Субъект обязан:
26.1. предоставить Оператору достоверные персональные данные;
26.2. своевременно информировать Оператора об изменении своих персональных данных в случаях, установленных законодательством;
26.3. исполнять иные обязанности, предусмотренные законодательством.
РАЗДЕЛ 9. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
27. Оператор имеет право:
27.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
27.2. поручить обработку персональных данных уполномоченному лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора;
27.3. при условии получения Оператором согласия Субъекта в письменной форме, в виде электронного документа или в иной электронной форме, Оператор может включить их персональные данные в общедоступные источники персональных данных.
28. Оператор обязан:
28.1. разъяснять Субъекту его права, связанные с обработкой персональных данных;
28.2. получать согласие Субъекта, за исключением случаев, предусмотренных законодательством;
28.3. обеспечивать защиту персональных данных в процессе их обработки;
28.4. предоставлять Субъекту информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;
28.4. носить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательством либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
28.5. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
28.6. исполнять требования уполномоченного органа по защите прав Субъектов об устранении нарушений законодательства о персональных данных;
28.7. выполнять иные обязанности, предусмотренные законодательством.
РАЗДЕЛ 10. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
29. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав Субъекта, за исключением случаев, предусмотренных законодательством, в том числе, когда дано согласие Субъекта при условии, что Субъект проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты.
30. Уполномоченный орган по защите прав субъектов персональных данных определяет перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав Субъекта.
РАЗДЕЛ 11. МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ СВОИХ ОБЯЗАННОСТЕЙ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
31. Оператор принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
32. Обязательные меры по обеспечению защиты персональных данных включают в себя:
32.1.предоставление Субъектам необходимой информации до получения их согласий на обработку персональных данных;
32.2. разъяснение Субъектам их прав, связанных с обработкой персональных данных;
32.3. получение согласий Субъектов на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
32.4. назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных у Оператора;
32.5. издание документов, определяющих политику Оператора в отношении обработки персональных данных;
32.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных у Оператора, с положениями законодательства о персональных данных;
32.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической, при необходимости также иного характера, защиты персональных данных у Оператора в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь;
32.8. обеспечение неограниченного доступа, в том числе, при наличии возможности и необходимости, с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;
32.9. прекращение обработки персональных данных при отсутствии оснований для их обработки;
32.10. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
32.11. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
32.12. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.