ГЛАВА 5ПРАВА И ОБЯЗАННОСТИВ ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ5.1. Общество имеет право с соблюдением действующего законодательства собирать, хранить и обрабатывать персональные данные для осуществления своей уставной деятельности и исполнения своих обязательств, предусмотренных действующим законодательством и заключенными договорами.
5.2. Субъект персональных данных обязан:
5.2.1. предоставлять Обществу достоверные персональные данные;
5.2.2. своевременно сообщать Обществу об изменениях и дополнениях своих персональных данных;
5.2.3. осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных;
5.2.4. исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.
5.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие субъекта персональных данных на обработку персональных данных не требуется в случаях, предусмотренных Законом о персональных данных, в том числе, но не ограничиваясь:
- для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
- при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
- в целях назначения и выплаты пенсий, пособий;
- для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
- в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- при обработке персональных данных, когда они указаны в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа; и т.д.
Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, предусмотренных Законом о персональных данных, в том числе, но не ограничиваясь:
- для осуществления административных процедур;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно.
5.4. Согласие субъекта персональных данных на их обработку может быть получено Обществом в письменной форме, в виде электронного документа или в иной электронной форме, соответствующей требованиям действующего законодательства.
5.5. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие на обработку своих персональных данных посредством направление Обществу соответствующего заявления.
Заявление об отзыве согласия на обработку персональных данных должно быть подано с учётом требований действующего законодательства, в том числе содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта, адрес его места жительства (места пребывания);
- дату рождения субъекта;
- идентификационный номер субъекта, при отсутствии такого номера — номер документа, удостоверяющего личность, в случаях, если эта информация указывалась клиентом при даче своего согласия Общества или обработка персональных данных осуществляется без согласия субъекта;
- указание непосредственно на отзыв согласия на обработку персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
5.6. В случае поступления в Общество заявления субъекта персональных данных об отзыве согласия на обработку персональных данных, такое заявление передаётся на рассмотрение должностному лицу организации, ответственному за осуществление внутреннего контроля за обработкой персональных данных, в соответствии с приказом, издаваемым Обществом.
Уполномоченное должностное лицо Общества обязано в течение пятнадцати дней рассмотреть заявление субъекта персональных данных об отзыве согласия на обработку персональных данных и в соответствии с его содержанием прекратить обработку персональных данных и уведомить субъекта, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательными актами Республики Беларусь.
При отсутствии технической возможности удаления персональных данных Общество обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
5.7. Субъект персональных данных также вправе:
5.7.1. получить информацию, касающуюся обработки своих персональных данных, содержащую:
- наименование и место нахождения Общества;
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано его согласие;
- иную информацию, предусмотренную законодательством.
5.7.2. Требовать от Общества внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.
В этих целях субъект персональных данных подает в Общество заявление в порядке, установленном действующим законодательством, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.
5.7.3. Получать от Общества информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.
Для получения указанной информации субъект персональных данных подает заявление в Общество. Заявление субъекта персональных данных должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера — номер документа, удостоверяющего личность, в случаях, если эта информация указывалась при даче субъектом своего согласия Обществу или обработка персональных данных осуществляется без согласия субъекта;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
5.7.4. Требовать от Общества бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами. Для реализации указанного права субъект персональных данных подает в Общество заявление в порядке, установленном действующим законодательством.
5.7.5. Обжаловать действия (бездействие) и решения Организации, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
5.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.
5.9. Отказ от предоставления персональных данных. Учитывая характер и тип некоторых оказываемых Обществом услуг, Обществу может понадобиться собирать некоторые персональные данные по требованию закона или в соответствии с положениями заключенных сделок и договоров с субъектами персональных данных. Без таких данных Общество в некоторых случаях может не иметь возможности контактировать с субъектом персональных данных и (или) оказывать ему соответствующие услуги.
Если субъект персональных данных решит не передавать некоторые данные Обществу и (или) отзовет свое согласие на обработку таких персональных данных, это может отсрочить или сделать невозможным выполнение некоторых обязательств и оказание услуг и (или) коммуникации.5.10. Общество также обязано:
5.10.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
5.10.2. получать согласие на обработку персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.10.3. обеспечивать защиту персональных данных в процессе их обработки;
5.10.4. предоставлять клиенту информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.10.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
5.10.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.10.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Обществу стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
5.10.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
5.10.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных и иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.
5.11. В случае необходимости разъяснения субъекту персональных данных какого-либо вопроса касаемо его прав в связи с обработкой персональных данных, Общество обязано разъяснить соответствующие права по запросу субъекта, направленному в адрес Общества в письменном виде или в электронном виде на почтовый ящик sales@svelan.by
ГЛАВА 6МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ6.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
- a)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- б)соблюдение конфиденциальности информации ограниченного доступа;
- в) реализацию права на доступ к информации.
6.2. Общество принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.3. Организационные меры, принимаемые Обществом в области защиты персональных данных:
- назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, а также за техническую защиту персональных данных (приказ);
- обеспечение неограниченного доступ к документам, определяющим политику Общества в области защиты персональных данных, в том числе путём размещения таких документов в глобальной сети Интернет на Сайте;
- ознакомление сотрудников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
- учёт и регистрация всех обращений субъектов персональных данных по вопросам персональных данных;
- возможность ознакомления с персональными данными при обращении и (или) поступлении запросов субъектов персональных данных или их уполномоченных представителей, если иное не установлено законодательством Республики Беларусь;
- прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
- обеспечение условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
- контроль соблюдения требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок и др.).
6.4. Правовые меры, принимаемые Обществом в области защиты персональных данных:
- утверждение Положения путём издания соответствующего приказа;
- утверждение Политики в области защиты персональных данных путём издания соответствующего приказа;
- включение в договоры с организациями –партнёрами дополнительных требований о соблюдении условий конфиденциальности и законодательства в области зашиты персональных данных;
- издание иных необходимых для обеспечения соблюдения законодательства в области защиты персональных данных документов.
6.5. Для защиты персональных данных при их обработке в информационных системах Общество проводит необходимые предусмотренные законом технические мероприятия, включая, но не ограничиваясь:
- предоставление каждому сотруднику Общества, имеющему доступ к автоматизированным системам хранения и обработки персональных данных, персонализированной учётной записи, доступ к которой обеспечен при введении индивидуальных логина и пароля, а также возможность отследить все совершаемые в автоматизированной системе действий такого сотрудника;
- определение угроз безопасности персональных данных при их обработке; применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.6. Обществом могут приниматься иные меры, направленные на обеспечение выполнения Обществом обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
ГЛАВА 7ОТВЕТСТВЕННОСТЬ СТОРОН7.1. За неисполнение или ненадлежащее исполнение условий настоящего Положения Общество и субъект персональных данных несут ответственность, предусмотренную законодательством Республики Беларусь.
7.2. В случае утраты или разглашения персональной информации Общество не несёт ответственность, если данная информация:
- стала публичным достоянием до её утраты или разглашения;
- была получена от третьей стороны до момента её получения Обществом;
- была разглашена с согласия субъекта персональных данных.
ГЛАВА 8ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ8.1. К настоящему Положению и отношениям между субъектом персональных данных и Обществом применяется действующее законодательство Республики Беларусь.
8.2. Действующее Положение является общедоступным, вступает в силу с момента его утверждения соответствующим приказом Общества.
8.3. Общество оставляет за собой право по своему усмотрению в будущем добавлять, менять или удалять пункты настоящего Положения для обеспечения актуальности и полноты информации о процедурах сбора и обработки персональных данных, правах и обязанностях сторон и т.д.
Общество обязуется информировать субъектов персональных данных о любых обновлениях настоящего Положения путем публикации актуальной редакции на Сайте и (или) иным способом по своему выбору.