Политика обработки персональных данных
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика Общества с ограниченной ответственностью «Мир-ГНБ» (далее – Оператор) в отношении обработки персональных данных (далее – Политика) разработана на основании требований Конституции Республики Беларусь, Гражданского кодекса Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о персональных данных), Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», иных нормативных правовых актов Республики Беларусь и определяет: цели обработки персональных данных, правовые основания обработки персональных данных, категории субъектов, персональные данные которых обрабатываются, перечень обрабатываемых персональных данных, условия и порядок обработки персональных данных, права и обязанности субъектов персональных данных, а также реализуемые у Оператора требования к защите персональных данных.
1.2. Политика действует в отношении персональных данных, которые обрабатывает Оператор и которые получены от физических лиц – клиентов Оператора, пользователей Сайта, лиц, подающих обращения Оператору.
1.3. Настоящая Политика не применяется к обработке персональных данных в процессе трудовой деятельности, при осуществлении административных процедур, в процессе изучения резюме и побора персонала, в процессе работы с контрагентами юридическими лицами, индивидуальными предпринимателями, а также при заключении и исполнении договоров с физическими лицами, выполняющими работы (оказывающими услуги) для Оператора.
1.4. Для целей Политики понятия и их определения имеют значения, определенные Законом о персональных данных, в том числе:
Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
Физическое лицо, которое может быть идентифицировано - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
Уполномоченное лицо - государственный орган, юридическое лицо, иная организация, которые в соответствии с актом законодательства, локальными нормативными актами либо на основании договора с Оператором осуществляют обработку персональных данных от имени Оператора или в его интересах.
Сайт - интернет-сайт Оператора, расположенный по адресу https://smartenergy.by/
Пользователь – любой посетитель Сайта.
1.5. Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на Сайте Оператора.
1.6. Почтовый адрес Оператора: 220002, г. Минск, ул. В. Хоружей, д. 39,
пом. 78, каб. 5
электронной почты: info@smartenergy.by
ЦЕЛИ ОБРАБОТКИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные обрабатываются Оператором в целях:
- оформления заказа, ведения переговоров, заключения и исполнения договоров с физическими лицами – клиентами Оператора;
- улучшения качества оказываемых услуг, предоставление и продвижение товаров, в том числе направление уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продажей товаров;
- организации работы с обращениями граждан;
- регистрации на Сайте, в том числе создание и использование личного кабинета;
- участия в программе лояльности Оператора;
- установления обратной связи с пользователями Сайта, в том числе опубликование, рассмотрение отзывов, опубликование и рассмотрение вопросов;
- опубликования и рассмотрения рекламаций на Сайте;
- в иных целях, не противоречащих законодательству Республики Беларусь.
2.2. От цели обработки персональных данных зависят:
- объем данных, которые Оператор вправе запрашивать и обрабатывать;
- необходимость получения согласия субъекта персональных данных на обработку его персональных данных;
- срок обработки персональных данных.
2.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением определенных целей, предусмотренных действующим законодательством Республики Беларусь и указанных в настоящей Политике.
2.4. Правовым основанием обработки персональных данных у Оператора являются: договоры, заключаемые между Оператором и субъектами персональных данных (договор публичной оферты); согласие субъекта персональных данных; документы, адресованные непосредственно Оператору субъектом персональных данных; выполнение Оператором обязанностей (полномочий), предусмотренных законодательными актами.
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ
3.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
- физические лица – клиенты Оператора;
- физические лица, подающие обращения (заявления);
- пользователи Сайта;
- иные субъекты, взаимодействие которых с Оператором создает необходимость обработки персональных данных.
ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Персональные данные физических лиц – клиентов Оператора включают:
- фамилию, имя, отчество (при наличии);
- контактные данные: номер телефона, адрес электронной почты;
- сведения о месте регистрации (о месте пребывания)
- иные данные, которые могу быть переданы клиентом в рамках исполнения взаимных прав и обязанностей между Оператором и субъектом персональных данных.
4.2. Персональные данные физических лиц, подающих обращения (заявления) включают:
- фамилию, имя, отчество (при наличии);
- сведения о месте регистрации (о месте пребывания)
- контактные данные: номер телефона, адрес электронной почты;
- иные данные, которые могут быть указаны в обращении субъекта персональных данных, необходимые для рассмотрения обращения (заявления).
4.3. Персональные данные пользователей Сайта, предоставляются ими путём заполнения соответствующей формы на Сайте при регистрации, установлении обратной связи, в том числе опубликовании отзывов, опубликовании вопросов либо путем устного предоставления персональных данных Оператору по номерам телефонов, указанных на Сайте и включают:
- имя;
- контактные данные: номер телефона, адрес электронной почты;
- иные данные, которые могут быть переданы пользователем Сайта.
4.4. Также Оператор может собирать информацию технического и иного характера:
- IP адрес;
- информация о браузере;
- используемая операционная система;
- время доступа;
- тип используемого устройства;
- имя веб-сайта, с которого был выполнен переход на Сайт;
Оператор осуществляет сбор статистики об IP-адресах своих пользователях, с целью выявления и решения технических проблем.
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных Оператором осуществляется путем автоматизированной обработки.
5.2. Согласие субъекта персональных данных может быть получено в виде электронного документа или в иной электронной форме в рамках заполнения формы обратной связи на Сайте либо путем устного предоставления Оператору по телефонам, указанным на Сайте.
5.3. Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в следующих случаях:
- при получении персональных данных Оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором, а именно: - оформления заказа, ведения переговоров, заключения и исполнения договоров с физическими лицами – клиентами Оператора;
- при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа, а именно: установления обратной связи с пользователями Сайта, в том числе опубликование, рассмотрение отзывов, опубликование и рассмотрение вопросов, опубликование и рассмотрение рекламации, в случае, если они поданы в письменном или ином виде и подписаны субъектом персональных данных; при организации работы с обращениями граждан и юридических лиц;
- в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- в иных случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
5.4. Хранение персональных данных и уничтожение (удаление) персональных данных.
5.4.1. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты: антивирусное программное обеспечение, использование паролей. Хранение персональных данных в электронном виде вне применяемых Оператором информационных систем и специально обозначенных Оператором локальных информационных хранилищ (внесистемное хранение персональных данных) не допускается.
5.4.2. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь.
5.4.3. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
5.5. Сроки обработки персональных данных
5.5.1. Оператор прекращает обрабатывать персональные данные в случае:
- если достигнута цель обработки, либо миновала необходимость в достижении цели, истек установленный срок обработки персональных данных;
- истек срок действия согласия субъекта персональных данных или субъект персональных данных отозвал согласие на обработку и у Оператора нет иных, предусмотренных законодательством Республики Беларусь, оснований для обработки персональных данных;
- в случае обнаружения неправомерной обработки персональных данных;
- в случае прекращения деятельности Оператора.
Персональные данные могут быть обработаны Оператором в течение более длительных сроков, чем указано выше, в случае если этого требует действующее законодательство Республики Беларусь.
5.5.2. Сроки обработки персональных данных Оператором устанавливаются в соответствии с их целями:
- оформление заказа, ведения переговоров, заключения и исполнения договоров с физическими лицами – клиентами Оператора: 3 года после окончания срока действия договора (оказания услуг), проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора;
- улучшение качества оказываемых услуг, предоставление и продвижение товаров, в том числе направление уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продажей товаров: на срок дачи согласия на обработку персональных данных;
- организация работы с обращениями граждан – 5 лет;
- регистрация на Сайте, в том числе создание и использование личного кабинета: на срок дачи согласия на обработку персональных данных;
- участие в программе лояльности Оператора: на срок дачи согласия;
- установление обратной связи с пользователями Сайта, в том числе опубликование, рассмотрение отзывов, опубликование и рассмотрение вопросов: на срок дачи согласия;
- опубликование и рассмотрение рекламации на Сайте: на срок дачи согласия.
5.5.3 Сроки обработки персональных данных указываются в согласии, в соответствии с заявленными целями, на которые дается согласие.
5.5.4 Сроки обработки персональных данных могут изменяться Оператором в одностороннем порядке. в соответствии с изменениями законодательства Республики Беларусь.
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъекты персональных данных имеют право на:
- отзыв согласия субъекта персональных данных;
- получение информации, касающейся обработки персональных данных и изменение персональных данных;
- получение от Оператора информации о предоставлении своих персональных данных третьим лицам не чаще одного раза в календарный год;
- требование прекращения обработки персональных данных и (или) их удаления;
- обжалование действий (бездействия) и решений Оператора, связанных с обработкой персональных данных.
6.2. Для реализации права на отзыв согласия на обработку персональных данных субъект персональных данных обращается к Оператору путем подачи заявления в письменной форме в соответствии с п. 6.3. настоящей Политики либо путем направления электронного обращения на адрес электронной почты info@smartenergy.by, если согласие было получено в иной электронной форме
6.3. Заявление должно содержать:
- фамилию, имя, отчество субъекта персональных данных;
- адрес места жительства (места пребывания);
- идентификационный номер (если указывался при даче согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных);
- изложение сути требования;
- личную подпись (электронно-цифровую подпись).
6.4. Оператор в течение 15 (пятнадцати) дней после получения соответствующего заявления прекращает обработку персональных данных (если нет оснований для обработки согласно законодательству Республики Беларусь), осуществляет их удаление, при отсутствии технической возможности удаления - принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, вносит изменения в персональные данные, предоставляет субъекту персональных данных информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет его о причинах отказа в предоставлении такой информации.
6.5. Субъект персональных данных вправе получить у Оператора информацию, касающуюся обработки своих персональных данных, посредством подачи Оператору соответствующего заявления в порядке, установленном настоящей главой. Оператор в течение 5 (пяти) рабочих дней после получения заявления предоставляет субъекту персональных данных соответствующую информацию либо уведомляет его о причинах отказа в предоставлении такой информации.
6.6. Субъект персональных данных вправе обратиться за содействием в реализации своих прав к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных.
6.7. Субъект персональных данных обязан:
- представлять Оператору достоверные персональные данные;
- своевременно сообщать Оператору об изменениях и дополнениях своих персональных данных;
- исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Оператора в области обработки и защиты персональных данных.
ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
7.1. Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством и принятыми нормативными правовыми актами, если иное не предусмотрено законодательством;
- поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора или на иных основаниях в соответствии с действующим законодательством Республики Беларусь, в том числе указанных в настоящей Политике;
- отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
- получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
- осуществлять иные права в соответствии с законодательством Республики Беларусь в области обработки и защиты персональных данных
7.2. Оператор обязан:
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
- обеспечивать защиту персональных данных в процессе их обработки;
- рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных в установленном законодательством порядке;
- предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;
- выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.
ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Под обеспечением безопасности при обработке персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- реализацию права на доступ к информации.
8.2. В целях обеспечения соблюдения требований конфиденциальности и безопасности при обработке персональных данных Оператор предоставляет работникам, осуществляющим обработку персональных данных, необходимые условия для выполнения указанных требований.
8.3. Безопасность персональных данных при их обработке в компьютерной сети Оператора обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в компьютерной сети Оператора информационные технологии: антивирусное программное обеспечение, установление паролей.
8.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя защищены индивидуальными паролями доступа, соответствующими требованиям локальных правовых актов Оператора.
8.5. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь или соглашением (договором) между Оператором и субъектом персональных данных.
8.6. Доступ к обрабатываемым персональным данным разрешается только работникам Оператора, занимающимися обработкой персональных данных и уполномоченным лицам Оператора на основании заключенных договоров, актов законодательства, локальных нормативных актов.
8.7. Перечень работников и уполномоченных лиц, имеющих доступ к персональным данным и занимающихся их обработкой определяется руководителем Оператора.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ УПОЛНОМОЧЕННЫМИ ЛИЦАМИ
9.1. Оператор вправе поручить обработку персональных данных уполномоченным лицам.
9.2. Перечень уполномоченных лиц, осуществляющих обработку персональных данных устанавливается Оператором в соответствии с Положением о порядке допуска работников и иных лиц к обработке персональных данных, действующим у Оператора.
9.3. Уполномоченные лица, осуществляют обработку персональных данных на основании актов законодательства, локальных нормативных актов, а также договоров, заключенным между Оператором и уполномоченным лицом.
9.4. В договоре между Оператором и уполномоченным лицом должны быть определены:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
9.5. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.
9.6. Ответственность перед субъектом персональных данных за действия уполномоченного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.
9.7. Оператор вправе предоставлять персональные данные третьим лицам, в целях, определенных в настоящей Политике, в частности операторам электросвязи, операторам сервисов обмена электронными сообщениями, организациям почтовой связи, банкам, государственным органам при наличии оснований, установленных законодательством Республики Беларусь.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
10.2. В случае, если какое-либо положение Политики признается противоречащим законодательству Республики Беларусь, остальные положения, соответствующие законодательству Республики Беларусь, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству Республики Беларусь.
10.3. Оператор оставляет за собой право периодически изменять и/или дополнять условия настоящей Политики без предварительного и/или последующего уведомления субъектов персональных данных.