Политика конфиденциальности

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее – Политика) подготовлена во исполнение требований Закона Республики Беларусь от 7 мая 2021г. № 99-3 «О защите персональных данных» (далее – Закон) и определяет порядок обработки персональных данных ООО «Зэ Зэ Корпорейшн» (далее – Компания, Оператор) и меры по обеспечению защиты и безопасности персональных данных, принимаемые Оператором.

1.2. Политика действует в отношении всех процессов обработки персональных данных, которые Компания получает о субъекте персональных данных.

1.3. Целью настоящей Политики является обеспечение надлежащей защиты персональных данных от несанкционированного доступа и разглашения, соблюдение прав и свобод гражданина при обработке его персональных данных, в том числе обеспечение защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Политика является общедоступной и размещается в сети Интернет на сайте Оператора: https:// https://zvonkomadewithlove.by/.

1.5. Используемые в настоящей Политике термины и определения употребляются в значениях, определенных в действующем законодательстве Республики Беларусь.

1.6. Наименование и местонахождение Оператора: Общество с ограниченной ответственностью «Зэ Зэ Корпорейшн», юридический и почтовый адрес: Республика Беларусь, 230005, г. Гродно, ул. Гаспадарчая, 19.

1.7. Оператор вправе поручить обработку персональных данных от имени Оператора или в его интересах уполномоченному лицу.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных.

2. Основные принципы обработки персональных данных

2.1. Обработка персональных данных включает в себя следующие действия с предоставленными персональными данными: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление, как с использованием средств автоматизации, так и без них.

2.2. Обработка персональных данных осуществляется на основании следующих принципов:

·           осуществляется с согласия субъекта персональных данных, за исключением случаев, установленных законодательством;

·           ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

·           содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

·           при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям обработки;

·           должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных;

·           хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.

2.3. ООО «Зэ Зэ Корпорейшн» устанавливает категории субъектов персональных данных, чьи персональные данные подвергаются обработке, перечень обрабатываемых персональных данных, цели обработки персональных данных, правовые основания обработки персональных данных и срок их хранения согласно Приложению к настоящей Политике.

2.4. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

2.5. Субъект персональных данных соглашается с тем, что для достижения установленных целей Оператор вправе передавать персональные данные третьим лицам, в частности, службам доставки товара, курьерским службам, перевозчикам, организациями почтовой связи, операторам мобильной связи, страховым организациям, банкам и их представителям, сервисным центрам, компаниям, осуществляющим информационно-технологическую (IT) поддержку информационных ресурсов (систем) Оператора, рассылку информационных, рекламных и иных сообщений, иным привлеченным Оператором третьим лицам. При этом третьим лицам предоставляются только те персональные данные, которые необходимы им для оказания соответствующих услуг. Третьи лица обязаны соблюдать конфиденциальность персональных данных. Третьим лицам запрещено использовать персональные данные в иных целях.

2.6. Поручение обработки персональных данных уполномоченному лицу осуществляется Оператором только на основании договора/соглашения, заключенного между Оператором и уполномоченным лицом в соответствии с законодательством Республики Беларусь.

В случае, если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

2.7. Оператор вправе осуществлять трансграничную передачу персональных данных, убедившись до такой передачи в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

Трансграничная передача персональных данных на территорию иностранных государств, не отвечающих вышеуказанному требованию, может осуществляться только в случаях, предусмотренных законодательством.

2.8. Персональные данные могут быть переданы представителям государственной власти только по основаниям и в порядке, установленным законодательством Республики Беларусь.

2.9. При утрате или разглашении персональных данных Оператор информирует субъекта персональных данных об утрате или разглашении персональных данных.

3. Способы получения согласия субъекта персональных данных на обработку персональных данных

3.1. Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов Оператора, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях и в целях, изложенных в настоящей Политике и Приложении, а также подтверждает, что ознакомлен с настоящей Политикой и согласен с ее условиями.

3.2. Отказ в предоставлении согласия либо отзыв ранее предоставленного согласия означает несогласие с настоящей Политикой. В таком случае становится невозможным (аннулируется) участие субъекта персональных данных во всех проводимых Оператором, а также привлечёнными Оператором третьими лицами активностях, механика которых предполагает использование персональных данных; аннулируются бонусы, имеющиеся на балансе карты клиента «ZVONKO Madewithlove», принадлежащей субъекту персональных данных и привязанной к его личному кабинету. Аннулирование осуществляется без права и возможности восстановления.

Отказ в предоставлении согласия на обработку персональных данных, прекращение обработки персональных данных может также повлечь за собой невозможность предоставления услуг субъекту персональных данных, выполнения Оператором своих обязательств.

3.3. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

3.4. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

3.5. В иной электронной форме согласие субъекта персональных данных может быть получено посредством:

·           указания (выбора, ввода) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;

·           проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе (сайте, мобильном приложении);

·           других способов, позволяющих установить факт получения согласия субъекта персональных данных, например, посредством создания учетной записи/аккаунта (регистрация Личного кабинета) на сайте https:// https://zvonkomadewithlove.by/ или в мобильном приложении «ZVONKO Madewithlove».

3.6. Оператор вправе в случаях, установленных законодательством, обрабатывать персональные данные без соответствующего согласия субъекта персональных данных.

4. Основные права и обязанности субъекта персональных данных

4.1. Субъект персональных данных имеет право:

4.1.1. на отзыв согласия субъекта персональных данных.

Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном пунктом 4.3. настоящей Политики, либо в форме, посредством которой получено его согласие.

Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательными актами. При отсутствии технической возможности удаления персональных данных Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения в соответствии с абзацем 3 настоящего пункта не является незаконной.

4.1.2. на получение информации, касающейся обработки персональных данных, и изменение персональных данных.

Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

·           наименование и место нахождения Оператора;

·           подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);

·           его персональные данные и источник их получения;

·           правовые основания и цели обработки персональных данных;

·           срок, на который дано его согласие;

·           наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;

·           иную информацию, предусмотренную законодательством.

Для получения информации, указанной в настоящем пункте, субъект персональных данных подает Оператору соответствующее заявление. При этом субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации.

Оператор обязан в течение пяти рабочих дней после получения заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, указанную в настоящем пункте, либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.

Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает Оператору заявление с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные. Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

4.1.3. на получение информации о предоставлении персональных данных третьим лицам.

Субъект персональных данных вправе получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательными актами.

Для получения информации, указанной в абзаце первом настоящего пункта, субъект персональных данных подает соответствующее заявление Оператору.

Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении.

4.1.4. требовать прекращения обработки персональных данных и (или) их удаления.

Субъект персональных данных вправе требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами. Для реализации указанного права субъект персональных данных подает Оператору заявление.

Оператор в случае, предусмотренном настоящим пунктом, обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных.

При отсутствии технической возможности удаления персональных данных Оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.

4.1.5. на обжалование действий (бездействия) и решений Оператора, связанных с обработкой персональных данных.

Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.

4.1.6. на осуществление иных прав, предусмотренных законодательством Республики Беларусь.

4.2. Субъект персональных данных обязан:

4.2.1. предоставлять Оператору достоверную информацию о персональных данных;

4.2.2. сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.

Порядок подачи заявления субъектом персональных данных Оператору.

Субъект персональных данных для реализации прав, предусмотренных пунктами 4.1.1.-4.1.4. настоящей Политики, подает Оператору заявление в письменной форме либо в виде электронного документа. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления Оператору в письменной форме.

Заявление субъекта персональных данных должно содержать:

·           фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

·           идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

·           изложение сути требований субъекта персональных данных;

·           личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

5. Меры по обеспечению защиты персональных данных

5.1. Оператор обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. Оператор (уполномоченное лицо) определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований актов законодательства.

5.3. Обязательными мерами по обеспечению защиты персональных данных являются:

5.3.1. назначение Оператором структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

5.3.2. издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных;

5.3.3. ознакомление работников Оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;

5.3.4. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

5.3.5. осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

6. Заключительные положения

6.1. К настоящей Политике и отношениям между субъектом персональных данных и Оператором применяется действующее законодательство Республики Беларусь.

6.2. Настоящая Политика вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.

6.3. Оператор имеет право в одностороннем порядке изменять настоящую Политику без предварительного согласования и последующего уведомления субъекта персональных данных.

6.4. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.

Перечень обрабатываемых ООО «Зэ Зэ Корпорейшн» персональных данных, цели их обработки, категории субъектов персональных данных, чьи данные подвергаются обработке, правовые основания обработки, сроки хранения персональных данных