Политика конфиденциальности

Открытое акционерное общество                            УТВЕРЖДЕНО

«ЦУМ МИНСК»                                                        Приказ генерального директора
                                                                                        12.11.2021 № 148

ПОЛИТИКА

12.11.2021 № ___

г.Минск

В отношении обработки

персональных данных

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

• Настоящая Политика в отношении обработки персональных данных (далее — Политика) определяет деятельность открытого акционерного общества «ЦУМ МИНСК», зарегистрированного по адресу: 220005, г. Минск, пр-т Независимости, 54 (далее — Оператор), в отношении обработки персональных данных и направлена на обеспечение защиты прав и свобод физических лиц при обработке их персональных данных.

Настоящая Политика основывается на Конституции Республики Беларусь и соответствует требованиям Закона Республики Беларусь от 07.05.2021 №99-3 «О защите персональных данных» (далее — Закон), Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»  и иных актов законодательства Республики Беларусь.

• Понятия, содержащиеся в ст. 1 Закона, используются в настоящей Политике с аналогичным значением. Основные из них приведены в пп.1.3 Политики.
• В настоящей Политике используются следующие основные понятия и термины:

биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).

блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

оператор - открытое акционерное общество «ЦУМ МИНСК», организующее и (или) осуществляющее обработку персональных данных;

персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;

распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

сайт Оператора– https://tsum.by/;

сервисы — любые сервисы, продукты, программы, мероприятия, услуги Оператора;

специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;

удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

• Обработка Оператором персональных данных субъектов персональных данных осуществляется с учетом следующих требований:

- соблюдение действующего законодательства Республики Беларусь;

- соразмерность заявленным целям их обработки и обеспечения на всех этапах такой обработки справедливого соотношения интересов всех заинтересованных лиц;

- получение согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами Республики Беларусь;

- ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

- соответствие содержания и объема обрабатываемых персональных данных заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- прозрачный характер обработки персональных данных - предоставление субъекту персональных данных информации, касающейся их обработки;

- принятие мер Оператором по обеспечению достоверности обрабатываемых им персональных данных, при необходимости - их обновления;

- хранение персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели их обработки.

• Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.
• Настоящая Политика вступает в силу с11.2021.

 

ГЛАВА 2

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

2.1. Оператор осуществляет обработку персональных данных работников Оператора и других субъектов персональных данных, не состоящих с Оператором в трудовых отношениях.

2.2. Оператор обрабатывает персональные данные, которые могут быть получены от следующих субъектов персональных данных:

акционеры и аффилированные лица Оператора;

работники Оператора, бывшие работники, кандидаты на занятие вакантных должностей, практиканты;

контрагенты Оператора, являющиеся физическими лицами; представители и/или работники контрагентов Оператора, являющихся юридическими лицами или индивидуальными предпринимателями;

покупатели торговых объектов Оператора, в том числе предоставившие Оператору персональные данные при оформлении актов передачи товара, актов выполненных работ по безвозмездному устранению недостатков товара, заявлений о расторжении договора купли-продажи товара;

посетители сайта Оператора, прошедшие регистрацию на сайте Оператора,

участники сервисов Оператора,

лица, предоставившие Оператору персональные данные путем оформления подписок на рассылку, путем заполнения анкет в ходе проводимых Оператором рекламных и иных мероприятий, анкеты на получение дисконтной карты, при отправке отзывов, обращений;

лица, предоставившие персональные данные Оператору иным путем.

Оператор обрабатывает следующие персональные данные субъекта персональных данных:

фамилия, имя, отчество;

пол,

дата и место рождения;

данные о гражданстве (подданстве)

адрес электронной почты;

 номер телефона (домашнего и (или) мобильного);

занимаемая должность;

адрес регистрации по месту жительства (пребывания);

адрес фактического проживания;

сведения о родителях, семейном положении, супруге, детях и других родственниках, их дате рождения, месте работы, учебы;

данные свидетельства о рождении субъекта персональных данных, свидетельств о рождении его детей, свидетельств о регистрации браков, свидетельств о смерти родственников и, в случае наступления смерти самого субъекта персональных данных, – данные свидетельства о его смерти;

сведения об образовании, опыте (стаже) работы, квалификации, о профессиональной подготовке и повышении квалификации, ученой степени, ученом звании;

сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

номер и серия страхового свидетельства государственного социального страхования;

сведения о социальных льготах и выплатах;

сведения об исполнении воинской обязанности (воинском учете);

сведения об инвалидности;

данные документа, удостоверяющего личность субъекта персональных данных;

сведения об удержании алиментов;

сведения о доходе с предыдущего места работы;

изображения (на фотографиях, с камер видеонаблюдения), записи голоса;

сведения медицинского характера (в случаях, предусмотренных законодательством);

данные виз и иных документов миграционного учета;

учетный номер налогоплательщика;

иная информация (указанный перечень может сокращаться или  расширяться в зависимости от конкретного случая и целей обработки).

2.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и при необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

2.4. Оператор обрабатывает биометрические персональные данные только при условии согласия субъекта персональных данных либо без согласия в иных случаях, предусмотренных законодательством Республики Беларусь.

• Оператор не осуществляет обработку специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных и иныx убеждений, здоровья, половой жизни, привлечения к административной или уголовной ответственности, за исключением случаев, когда субъект персональных данных самостоятельно предоставил такие данные Оператору, либо они стали известны Оператору в соответствии с законодательством Республики Беларусь.
• Оператор в случае необходимости для достижения целей обработки вправе передавать персональные данные третьим лицам с соблюдением требований законодательства Республики Беларусь.

ГЛАВА 3

ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Оператор осуществляет обработку персональных данных в следующих целях:

обеспечения соблюдения законодательства Республики Беларусь;

осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными правовыми актами Оператора, либо достижения общественно значимых целей;

ведения учета акционеров и аффилированных лиц;

привлечения и отбора кандидатов на работу у Оператора, содействия в трудоустройстве;

осуществления коммуникаций с кандидатами на занятие вакантных должностей у Оператора (для приглашения на собеседование, сообщения о его результатах, конкретизации информации о кандидате), с работниками Оператора, их родственниками (для сообщения и уточнения информации, связанной с осуществлением трудовых функций работника, для поиска работника в случае невыхода на работу), бывшими работниками (для сообщения и уточнения информации, связанной с осуществлением ранее трудовых функций), практикантами (для сообщения и уточнения информации, связанной с прохождением практики);

ведения кадрового делопроизводства, повышения квалификации работников, их переподготовки, продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества;

организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;

заполнения и предоставления в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные уполномоченные организации требуемых форм отчетности;

предоставления социальных льгот и гарантий, предусмотренных локальными правовыми актами Оператора и иными актами законодательства Республики Беларусь;

ведения бухгалтерского учета;

осуществления коммуникаций с субъектами персональных данных, в том числе с представителями и/или работниками контрагентов при подготовке, заключении, последующем исполнении и прекращении гражданско-правовых договоров;

осуществления сбора и передачи персональных данных работников Оператора его контрагентам для осуществления с ними коммуникаций при подготовке, заключении, последующем исполнении и прекращении гражданско-правовых договоров (при наличии в договоре с контрагентом условия о сборе и передаче персональных данных работника и истребовании у него на это согласия);

обеспечения пропускного и внутриобъектового режимов на объектах Оператора;

формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;

исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;

предоставления субъектам персональных данных сервисов Оператора; предоставления субъектам персональных данных информации о деятельности Оператора, о разработке Оператором новых сервисов; отправки субъектам персональных данных уведомлений, коммерческих предложений, сообщений рекламно-информационного характера;

проведения Оператором акций, опросов, интервью, тестирований на сайте Оператора   и сервисах Оператора;

оценки и анализа работы сервисов Оператора, контроля и улучшения качества сервисов Оператора;

информирования о работе сайта Оператора;

регистрации и обслуживания аккаунтов на сайте и в сервисах Оператора; обработки обращений и запросов, получаемых от субъектов персональных данных;

заполнения форм актов и заявлений покупателями для решения вопросов о качестве реализуемых Оператором товаров, устранения выявленных в товарах недостатков, для удовлетворения обоснованных требований покупателей.

в иных законных целях.

 

ГЛАВА 4

ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ

ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Оператор имеет право:

получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе если они являются необходимыми для заявленных целей их обработки;

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством Республики Беларусь;

поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом;

в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе.

• Оператор обязан:

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами Республики Беларусь;

обрабатывать персональные данные в порядке, установленном законодательством Республики Беларусь;

обеспечивать защиту персональных данных в процессе их обработки;

принимать меры по обеспечению достоверности обрабатываемых им персональных данных,

вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами Республики Беларусь либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы;

предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, предусмотренных Законом и иными законодательными актами Республики Беларусь а также по требованию субъекта персональных данных;

уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

устанавливать и поддерживать в актуальном состоянии:

- перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых он является;

- категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные персональные данные; специальные персональные данные (кроме биометрических и генетических персональных данных); биометрические и генетические персональные данные; персональные данные, не являющиеся общедоступными или специальными;

- срок хранения обрабатываемых персональных данных.

выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.

• Субъект персональных данных имеет право:

на получение информации, касающейся обработки Оператором его персональных данных;

на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

на отзыв своего согласия на обработку персональных данных;

на получение информации о предоставлении своих персональных данных третьим лицам;

на прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки; предусмотренных Законом и иными законодательными актами Республики Беларусь;

на обжалование действий/бездействия и решений Оператора, связанных с обработкой его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц;

на осуществление иных прав, предусмотренных законодательством Республики Беларусь.

• Субъект персональных данных обязан:

предоставлять Оператору исключительно достоверные сведения о себе;

в случае необходимости предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;

информировать Оператора об изменениях своих персональных данных.

• Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.

 

ГЛАВА 5

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

• Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных законодательством Республики Беларусь, когда обработка персональных данных осуществляется без получения такого согласия.
• Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
• Обработка персональных данных Оператором, включает в себя следующие действия с персональными данными: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление, иные действия в соответствии с законодательством Республики Беларусь.
• Способы обработки персональных данных Оператором:

неавтоматизированная обработка персональных данных;

автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без такой передачи;

смешанная обработка персональных данных.

• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством Республики Беларусь, договором, заключенным (заключаемым) с субъектом персональных данных, в целях совершения действий, установленных этим договором.
• Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока обработки персональных данных, отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
• При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:

назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;

издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных;

осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе с требованиями по защите персональных данных, и организовывает обучение указанных работников;

публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

осуществляет техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;

принимает иные меры по обеспечению защиты персональных данных, предусмотренные законодательством Республики Беларусь.

 

ГЛАВА 6

МЕХАНИЗМ РЕАЛИЗАЦИИ ПPAB

СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6.1. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в письменной форме либо в виде электронного документа. Заявление должно содержать:

фамилию, имя, отчество субъекта персональных данных, адрес места жительства (места пребывания);

дату рождения;

идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных (если указывался при даче согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных);

изложение сути требования;

личную подпись либо электронную цифровую подпись.

Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству), осуществляет их удаление, при отсутствии технической возможности удаления — принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом  субъекта персональных данных в тот же срок.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

• Субъект персональных данных вправе получить у Оператора информацию, касающуюся обработки своих персональных данных, посредством подачи Оператору заявления в порядке, предусмотренном п. 6.1 настоящих Правил. Оператор в течение 5 рабочих дней после получения заявления предоставляет субъекту персональных данных соответствующую информацию либо уведомляет его о причинах отказа в предоставлении такой информации.
• Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными, посредством подачи Оператору заявления в порядке, предусмотренном п. 6.1 настоящих правил, с приложением документов (заверенных в установленном порядке копий), подтверждающих необходимость внесения таких изменений. Оператор в течение 15 дней после получения заявления вносит изменения в персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет о причинах отказа во внесении изменений.
• Субъект персональных данных вправе получить от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, посредством подачи Оператору заявления в порядке, предусмотренном п. 1 настоящих Правил. Оператор в течение 15 дней после получения заявления предоставляет субъекту персональных данных информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет его о причинах отказа в предоставлении такой информации.
• Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, предусмотренных Законом и иными законодательными актами Республики Беларусь, посредством подачи Оператору заявления в порядке, предусмотренном п. 1 настоящих Правил. Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству), осуществляет их удаление, при отсутствии технической возможности удаления — принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.

 

ГЛАВА 7

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

• Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
• В случае, если какое-либо положение Политики признается противоречащим законодательству, остальные положения, соответствующие законодательству, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству.
• Оператор имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов персональных данных. Действующая редакция Политики постоянно доступна на сайте Оператора.

 

Начальник отдела кадровой и правовой работы               К.А.Блажеевская