Политика конфиденциальности персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

  1. ОБЩЕЕ ПОЛОЖЕНИЕ

    1. Настоящая Политика обработки персональных данных (далее - Политика) определяет правила и принципы обеспечения безопасности персональных данных в ООО «Укбелфуд»    (далее - Компания). Настоящая Политика в отношении обработки персональных данных действует в отношении всей информации, которую Компания  может получить от субъекта персональных данных во время взаимодействия с Компанией  в процессе осуществления Компанией хозяйственной и иной деятельности.

    2. Настоящая Политика разработана в соответствии с Законом Республики Беларусь от 10.11.2008 №455-З «Об информации, информатизации и защите информации», Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее – Закон) и иными нормативными правовыми актами.  Политика вступает в силу с момента ее утверждения и опубликования на сайте Компании, действует бессрочно до замены ее новой Политикой.

    3. Компания имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов персональных данных. 

    4. Действующая редакция Политики размещена в глобальной компьютерной сети Интернет на официальном сайте (-ах) Компании  в открытом доступе.

 

  1.  ОСНОВНЫЕ ТЕРМИНЫ, ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

    1. В настоящей Политике используются следующие термины, понятия и определения:

    2. Компания – ООО «Укбелфуд», зарегистрировано 04.01.2021 Минским горисполкомом в Едином государственном регистре юридических лиц и индивидуальных предпринимателей с регистрационным номером 193489769. Юридический и почтовый адрес: г. Минск,  ул. Мясникова, д.34

    3.  «Оператор» – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.

    4. В настоящей Политике под Оператором понимается Компания.

    5.  «Сайт» – www.chumaczki.online

    6. «Субъект персональных данных» – физическое лицо, в отношении которого осуществляется обработка персональных данных.

    7. «Персональные данные» – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано и которую субъект персональных данных предоставляет о себе. 

    8. «Специальные персональные данные» – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

    9. «Обработка персональных данных» – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

    10. «Предоставление персональных данных» –действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.

    11. «Распространение персональных данных» – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

    12. «Блокирование персональных данных» – прекращение доступа к персональным данным без их удаления.

    13. «Удаление персональных данных» – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

    14. «Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

    15. «Общедоступные персональные данные» – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

    16. «Информационная система персональных данных» – совокупность содержащихся в базе данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    17. Обработка персональных данных осуществляется Компанией  в соответствии с законодательством Республики Беларусь на основании принципов законности, добровольности, соразмерности, прозрачности, достоверности и сохранности.

    18. Обработка персональных данных Компанией включает в себя следующие действия с персональными данными: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление, иные действия в соответствии с законодательством.
      При обработке персональных данных Компания  принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    19. Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных законодательством, когда обработка персональных данных осуществляется без получения такого согласия.

    20. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

    21. Обработка персональных данных осуществляется Компанией на основании согласия субъекта персональных данных, полученного в письменной форме, в виде электронного документа или в иной электронной форме (в том числе посредством проставления субъектом персональных данных отметки на сайте Компании), либо по иным основаниям, предусмотренным законодательством.

    22. Компания обеспечивает режим конфиденциальности персональных данных субъектов персональных данных, принимает меры к их защите в порядке и способами, предусмотренными законодательством Республики Беларусь.

    23. Персональные данные могут обрабатывать от имени в интересах и по поручению Компании  следующие уполномоченные лица:
      - физические лица, юридические лица и индивидуальные предприниматели, осуществляющие доставку, перевозку заказанной клиентами продукции;
      -  юридические лица и индивидуальные предприниматели, оказывающие Компании  услуги по организации и проведению рекламных игр и акций;
      -  юридические лица, оказывающие Компании  услуги по осуществлению информационной рассылки;
      - юридические лица и индивидуальные предприниматели, с которыми Компанией заключены лицензионные договоры на предоставление права пользования программными продуктами, с использованием которых Компанией  осуществляется обработка персональных данных.

    24. В случае если Компания поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Уполномоченное лицо несет ответственность перед Компанией.

 

  1. СУБЪЕКТЫ. ОБЪЕМ ДАННЫХ И ЦЕЛИ ОБРАБОТКИ

    1. В Компании  обрабатываются персональные данные следующих категорий субъектов:

    2. - клиентов Компании, осуществляющие заказ продукции с использованием сайта или по номеру телефона;

    3. - клиенты-посетители объектов общественного питания Компании;

    4. - кандидатов для приема на работу;

    5. - работников и бывших работников, их родственников;

    6. - физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности;

    7. - заявителей, подавших (подающих) обращения в Компании;

    8. - контрагентов.

    9. Компания собирает персональные данные субъектов персональных данных для следующих целей и в следующем объеме:

    10. - клиенты Компании, осуществляющие заказ продукции с использованием сайта www.chumaczki.online или по номеру телефона: 375(29)190-77-77
      Цель: оформление заказа через сайт или по номеру телефона, доставка заказа, информационная рассылка о произведенном заказе, обратная связь с целью оценки качества оказанной услуги.

    11. Обрабатываемые данные: имя, номер мобильного телефона, адрес доставки заказа.

    12. Срок хранения: 5 лет. Правовое основание: абз. 15 ст. 6 Закона.

    13. - клиенты-посетители объектов общественного питания Компании:
      Цель: оформление и выдача заказов, информационная рассылка о произведенном заказе, обратная связь с целью оценки качества оказанной услуги, применение системы видеонаблюдения в целях обеспечения охраны имущества.
      Обрабатываемые данные: имя, номер мобильного телефона, адрес доставки заказа, изображение человека.
      Срок хранения: информация, полученная при заказе - 5 лет, информация, полученная при видеонаблюдении – 30 суток.
      Правовое основание: абз. 20 ст. 6 Закона, Закон Республики Беларусь от 8 ноября 2006 г. №175-З «Об охранной деятельности в Республике Беларусь».

    14. - кандидаты для приема на работу:
      Цель: рассмотрение резюме (анкет) соискателей на вакантные должности в целях заключения трудового договора и ведение резерва кадров.
      Обрабатываемые данные: фамилия, собственное имя, отчество, год рождения, сведения об образовании и опыте работы, контактный номер телефона, адрес электронной почты.
      Срок хранения: в случае непринятия на работу – 1 год. В случае принятия на работу – 1 месяц. Правовое основание: ст. 5, 16 Закона.

    15. - работники и бывшие работники, их родственники:
      Цель: ведение кадрового, бухгалтерского, налогового учета.
      Обрабатываемые данные: сведения, необходимые при приеме на работу и ведении кадрового, бухгалтерского, налогового учета в соответствии с действующим законодательством Республики Беларусь. Правовое основание: абз. 8 ст. 6 Закона.
      Срок хранения: различен, в зависимости от категории обрабатываемых персональных данных.

    16. - физические лица по договорам гражданско-правового характера, авторы результатов интеллектуальной деятельности:
      Цель: для подготовки, заключения, исполнения и прекращения гражданско-правовых договоров, исполнения обязательств по договорам, учета таких договоров.
      Обрабатываемые данные: фамилия, собственное имя, отчество либо инициалы лица, подписавшего договор, иные данные в соответствии с условиями договора (при необходимости).
      Правовое основание: абз. 15 ст. 6 Закона.
      Срок хранения: 3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора.

    17. - заявители, подавшие (подающие) обращения в Компанию:
      Цель: рассмотрение поступивших обращений от заявителей физических лиц или от заявителей, направивших обращение от имени юридического лица, рассмотрение замечаний и предложений, вносимых в книгу замечаний и предложений, подготовка и направление ответа на замечание и (или) предложение, осуществление административных процедур.

    18. Обрабатываемые данные: фамилия, собственное имя, отчество либо инициалы, адрес места жительства (места пребывания), суть обращения, иные персональные данные, указанные в обращении.

    19. Правовое основание: абз. 20 ст. 6 и абз. 16 п. 2 статьи 8 Закона, (ст. 9, ст. 28, пункт 1 ст. 3 Закона Республики Беларусь от 18 июля 2011 г. № 300-З «Об обращениях граждан и юридических лиц», ст. 14 и 15 Закона от 28 октября 2008 г. № 433-З «Об основах административных процедур»).

    20. Срок хранения: 5 лет с даты последнего обращения; 5 лет после окончания ведения книги замечаний и предложений.

    21. - контрагенты: Цель: направление, получение и обсуждение предложений о сотрудничестве, ведение коммуникации в рамках договорных отношений между Компанией  и контрагентом.

    22. Обрабатываемые данные: фамилия, имя, отчество; контактные данные, должность, реквизиты документа, удостоверяющего личность лица, подписывающего договор (для физических лиц и индивидуальных предпринимателей), документы, подтверждающие полномочия лица на подписание документов от имени контрагента, иные сведения, указанные контрагентом, для заключения договора и в рамках его исполнения.
      Правовое основание: абз. 15 ст. 6, абз.20 ст.6 Закона.

    23. Срок хранения: 3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора.

    24. Компания использует персональные данные и информацию, получаемую от субъектов персональных данных, в следующих целях:
      - для выполнения своих обязательств перед субъектом персональных данных;
      - для обработки заказа субъекта персональных данных;
      - для доставки заказа субъекту персональных данных;
      - для связи с субъектом персональных данных;
      - для улучшения качества услуг;
      - для статистических исследований качества обслуживания;
      - для направления информационных sms-сообщений;
      - для оценки и улучшения работы сайта;
      - для регулирования трудовых отношений с работниками Компании  и ведения бухгалтерского, налогового и кадрового учета;
      - для подготовки, заключения, исполнения и прекращения гражданско-правовых договоров, исполнения обязательств по договорам, учета таких договоров, формирования и использования базы данных контрагентов, их представителей;
      - для обеспечения пропускного режима;
      - для рассмотрения обращений;
      - для осуществления административных процедур;
      - для учета аффилированных лиц Компании;
      - для выполнения иных обязанностей (полномочий), предусмотренных законодательными актами.

    25. Содержание и объем персональных данных должны соответствовать заявленным целям их обработки.

    26.  Компания обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки, а также сроков хранения персональных данных согласно утверждаемому Компанией  реестру обработки персональных данных.

    27. Субъект персональных данных соглашается с тем, что Компания вправе передавать его персональные данные третьим лицам исключительно для реализации целей, указанных в настоящей главе Политики, при условии соблюдения такими третьими лицами конфиденциальности и безопасности персональных данных.

    28. Обработка специальных персональных данных, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, Компанией  не производится.

    29. Обработка биометрических персональных данных, на основании которых есть возможность определить субъекта персональных данных может производиться только на основании соответствующего письменного согласия субъекта персональных данных.

    30. Компания прекращает обработку персональных данных в случае достижения целей обработки персональных данных, истечения срока обработки персональных данных, отзыва согласия субъектом персональных данных или предъявление им требования о прекращении обработки персональных данных, отсутствия основания для обработки персональных данных, выявление неправомерной обработки персональных данных, а также в иных случаях, предусмотренных законодательством.

 

  1. МЕРЫ

    1. Компания при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 

    2. Обеспечение безопасности персональных данных осуществляется следующим образом:
      - определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
      - применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
      - применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
      - хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним;
      - оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
      - учет носителей персональных данных;
      - обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
      - восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      - иные меры, предусмотренные законодательством Республики Беларусь, в области обработки персональных данных.

    3. Меры, применяемые для защиты персональных данных субъектов персональных данных:
      - назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
      - ознакомление работников Компании с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
      - установление разрешительной системы порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
      - организация физической защиты помещений, технических средств и носителей персональных данных;
      - осуществление технической и криптографической защиты персональных данных, а также
      постоянный контроль за обеспечением уровня защищенности персональных данных;
      - издание Компанией документов, определяющих политику Компании  в отношении обработки персональных данных.

    4. Система защиты персональных данных должна обеспечивать:
      - контроль за обеспечением уровня защищенности персональных данных;
      - своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным;
      - возможность незамедлительного восстановления персональных данных, уничтоженных вследствие несанкционированного доступа к ним.

    5. Осуществление внутреннего контроля за обработкой персональных данных, обрабатываемых Компанией, возложено на директора Горохову Жанну Константиновну.

    6. Осуществление технических мер по обеспечению защиты персональных данных, осуществления технической защиты персональных данных, возложено на ведущего специалиста по безопасности Компании.

 

  1. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных.

    2. Субъект персональных данных вправе требовать от Компании внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.

    3. В этом случае изменения в персональные данные субъекта персональных данных вносятся Компанией  в срок не позднее 15 дней с момента получения соответствующего заявления с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные, с уведомлением в указанный срок субъекта персональных данных.

    4. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие на обработку персональных данных, а также вправе требовать от Компании  бесплатного прекращения обработки своих персональных данных, включая их удаление, посредством подачи заявления в письменной форме либо в виде электронного документа.

    5.  Компания в течение 15 дней после получения заявления  субъекта персональных данных прекращает обработку персональных данных (если нет оснований для обработки согласно законодательству или договору), осуществляет их удаление, при отсутствии технической возможности удаления принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.

    6. Заявление субъекта персональных данных должно содержать:
      - фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
      - дату рождения субъекта персональных данных;
      - идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
      - изложение сути требований субъекта персональных данных;
      - личную подпись либо электронную цифровую подпись субъекта персональных данных.

    7. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

    8.  Субъект персональных данных вправе получать от Компании информацию о предоставлении своих персональных данных третьим лицам.

    9. Компания в течение 5 рабочих дней после получения заявления предоставляет субъекту персональных данных соответствующую информацию либо уведомляет его о причинах отказа в предоставлении такой информации.

    10. Субъект персональных данных вправе обжаловать действия (бездействие) и решения Компании, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

    11. За содействием в реализации прав субъект персональных данных может обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных, направив сообщение на электронный адрес:  resbarka@tut.by.

 

  1. COOKIE

    1. Компания вправе использовать технологию «cookie». «Cookie» не используются для сохранения конфиденциальной информации о посетителях сайта. Использование файлов cookie регламентируется положением о политике в отношении обработки cookie.

 

  1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

    1. Компания гарантирует, что данные субъекта персональных данных хранятся в безопасности и являются конфиденциальными.

    2. Правом доступа к персональным данным субъектов обладают работники Компании, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.

    3. Перечень должностей работников Компании, имеющих доступ к персональным данным, утверждается уполномоченным лицом Компании.

    4. Работники Компании, допущенные к обработке персональных данных, обязаны:
      - знать и неукоснительно выполнять требования настоящей Политики;
      - обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
      - не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
      - пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;
      - выявлять факты разглашения (уничтожения, искажения) персональных данных и незамедлительно сообщать о таких фактах лицу, ответственному за организацию обработки персональных данных.

    5. С целью осуществления информационной рассылки Оператор поручает обработку персональных данных стороннему поставщику услуг:
      - СООО «Мобильные ТелеСистемы», УНП 800013732, г. Минск, пр. Независимости, дом 95, пом. 4 — sms-рассылка о заказах. 

    6. Перечень действий с персональными данными, осуществляемых указанным уполномоченным лицом: сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, предоставление, удаление. 

    7. Оператор может предоставлять (передавать) персональные данные третьим лицам с соблюдением требований законодательства для достижения целей, заявленных Оператором в Политике или определённых законодательством. 

    8. Оператор может передавать персональные данные следующим субъектам на основании заключенного договора: лицам, осуществляющим доставку и перевозку заказов. Перечень действий с персональными данными, осуществляемых указанными уполномоченными лицами: использование для выполнения договорных обязательств.

    9. Перечень персональных данных, обработка которых поручается уполномоченному лицу, соответствует перечню, указанному рядом с соответствующей целью в разделе «Субъекты. Объем данных и цели обработки». 

    10. Оператор также вправе передавать персональные данные соответствующим третьим лицам, когда обязанность вытекает в силу закона.

    11. Трансграничную передачу данных Оператор не осуществляет.

    12. Компания вправе без дополнительного согласования с субъектом персональных данных осуществлять записи телефонных переговоров с субъектом персональных данных, предварительно уведомив его об этом до начала телефонного разговора.

    13. Политика подлежит изменению, дополнению в случае изменения законодательства Республики Беларусь в сфере обработки и защиты персональных данных.

    14. Работники Компании, имеющие доступ к персональным данным, несут ответственность за невыполнение требований норм, регулирующих обработку и защиту персональных данных, в соответствии с законодательством Республики Беларусь.

Зарегистрируйтесь