Политика конфиденциальности
Об обработке и защите персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика об обработке и защите персональных данных (далее – Политика) определяет политику Общества с ограниченной ответственностью «ФердиналГрупп», УНП 191753634 (далее – Общество) в отношении обработки персональных данных, в том числе порядок обработки Обществом персональных данных лиц, являющихся и не являющихся ее работниками, включая порядок сбора, хранения, использования, передачи и защиты персональных данных.
1.2. Упорядочение обращения с персональными данными имеет целью обеспечить права и свободы граждан при обработке персональных данных, сохранение конфиденциальности персональных данных и их защиту.
1.3. Политика и изменения к нему утверждаются приказом Директора Общества.
1.4. Политика является локальным правовым актом, обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящей Политикой. Публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте. Действие Политики распространяется на все процессы по обработке персональных данных пользователей интернет-сайта https://ferdinal.by осуществляемые с использованием средств автоматизации и (или) без использования таких средств;
1.5. Положение разработано на основе и во исполнение:
– Конституция Республики Беларусь;
– Трудовой кодекс Республики Беларусь;
– Гражданский кодекс Республики Беларусь;
– Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных);
– Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
– Законом от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации», и иными нормативными правовыми актами, регулирующих отношения, связанные с деятельностью Оператора;
– Указом Президента Республики Беларусь от 28.10.2021 N 422 «О мерах по совершенствованию защиты персональных данных»;
– иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
1.6. Настоящая Политика вступает в силу с момента ее утверждения и действует до замены ее новой Политикой.
ГЛАВА 2
ОСНОВНЫЕ ПОНЯТИЯ
2.1. В настоящем Положении используются следующие основные понятия и термины:
2.1.2. Общество или Оператор – ООО «ФердиналГрупп», УНП 191753634, зарегистрированное по адресу: Республика Беларусь, 220078, г. Минск, ул. Горецкого, д. 7, оф. 114, 115;
2.1.3. персональные данные – любая информация, в том числе предоставленная через интернет-сайт Общества - https://ferdinal.by (далее - Сайт), либо предоставленная иным способом, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (прямо или косвенно, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности);
2.1.4. сайт – совокупность связанных между собой веб-страниц, размещённых в сети Интернет по уникальному адресу (URL), а также его субдоменах;
2.1.5. сookies – это небольшой текстовый файл, хранящийся на устройстве Пользователя, в котором сохраняются данные о посещенном Пользователем ресурсе. Cookie помогают Оператору запоминать информацию о совершенных Пользователем на ресурсе действиях (например, какие товары были положены в корзину), направлять актуальную рекламу и предлагать интересующие товары;
2.1.6. IP-адрес – уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на сайт;
2.1.7. субъект персональных данных – физическое лицо, к которому относятся обрабатываемые Обществом персональные данные, в том числе физическое лицо, не являющееся работником Общества, к которому относятся обрабатываемые Общества персональные данные;
2.1.8. обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
2.1.9. обработка персональных данных с использованием средств автоматизации – обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее;
2.1.10. обработка персональных данных без использования средств автоматизации – действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);
2.1.11. распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
2.1.12. предоставление персональных данных действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
2.1.13. блокирование персональных данных прекращение доступа к персональным данным без их удаления;
2.1.14. удаление персональных данных действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
2.1.15. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.1.16. персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
2.1.17.Заказчик услуг (согласно договора оферты) – Физическое лицо, юридическое лицо, Индивидуальный предприниматель, получающие следующие возмездные консультационные услуги:
- проведения консультирования по вопросу о видах, условиях и порядке предоставления кредитов банками (их структурными подразделениями) расположенными на территории Республики Беларусь;
- содействие Заказчику в выборе банка и программы кредитования, отвечающей потребностям клиента, указанным в Заявке на оказание услуг;
- информационное содействие Заказчику в сборе и оформлении документов, необходимых и достаточных для получения кредита (заключения кредитного договора);
- по согласованию с Заказчиком техническое содействие клиенту во взаимоотношениях с банком при зачислении денежных средств, полученных в кредит, на счет Заказчика;
- оказание иных услуг, входящих в предмет договора.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Общество обрабатывает персональные данные следующих категорий субъектов:
- работников, бывших работников Общества, в т.ч. кандидаты на прием на работу;
- Клиентов / Заказчиков / Граждан, оформляющих подписку на рассылку, при отправке отзывов, обращений, заполнении анкет, опросов в ходе проводимых Обществом рекламных и иных мероприятий / Контрагентов Общества, являющихся физическими лицами;
- посетители (пользователи) сайтов Общества, в том числе являющиеся иностранными гражданами;
- лица, предоставившие Обществу персональные данные путем заключения с ним договора, оформления подписок на рассылку, при отправке отзывов, обращений, участие в иных мероприятиях Исполнителя (Оператора);
- посетители (пользователи) сайта;
- иных субъектов, взаимодействие которых с Обществом создает необходимость обработки персональных данных.
ГЛАВА 4
СОДЕРЖАНИЕ И ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Обществом реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
4.2. Персональные данные Работников / Клиентов / Заказчиков / Граждан, заключающих Договор с Обществом, оформляющих подписку на рассылку, при отправке отзывов, обращений, заполнении анкет, опросов в ходе проводимых Обществом рекламных и иных мероприятий / Контрагентов Общества включают:
- фамилию, имя, отчество (а также предыдущие фамилии);
- дату рождения;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- реквизиты банковского счета;
- пол;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
- контактные данные (включая номера рабочего и/или мобильного телефона, электронной почты, логин Skype и др.);
- иные данные, предоставляемые работниками в соответствии с требованиями законодательства Республики Беларусь (или) необходимые для исполнения взаимных прав и обязанностей.
4.3. Персональные данные посетителей (пользователей) сайтов Общества включают:
- идентификатор пользователя, присваиваемый сайтом;
- посещенные, запрошенные страницы;
- количество посещений страниц;
- длительность пользовательской сессии;
- точки входа (сторонние сайты, с которых пользователь по ссылке переходит на сайт);
- точки выхода (ссылки на Портале, по которым пользователь переходит на сторонние сайты);
- страна пользователя;
- регион пользователя;
- провайдер пользователя;
- браузер пользователя;
- поисковые запросы пользователя, в том числе поисковые запросы относительно заданного пользователем местоположения;
- цифровой отпечаток браузера;
- тип доступных медиа-устройств в браузере;
- ОС пользователя;
- параметры экрана (разрешение, глубина цветности, параметры размещения страницы на экране);
- информация об использовании средств автоматизации при доступе на Портал;
- файлы Cookie или данные, включаемые в состав файлов Cookie;
- IP-адрес.
ГЛАВА 5
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных субъектов основывается на следующих принципах:
- обработка персональных данных осуществляется в соответствии с Законом о защите персональных данных и иными актами законодательства;
- обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей.
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных должна носить прозрачный характер;
- Оператор обязан принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
- хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
ГЛАВА 6
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных осуществляется в следующих целях:
- обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Общества;
- обеспечения законного и справедливого оказания услуг и передачи информации Субъекту персональных данных (далее – Клиент) в процессе оказания услуги.
- приема обращений и заявок от Клиента;
- информирования о новых услугах, специальных акциях и предложениях;
- информационной рассылки.
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- регулирования трудовых отношений с работниками Общества;
- проверки контрагента;
- ведения переговоров, подготовки, заключения, исполнения и прекращения договоров с контрагентами (осуществления гражданско-правовых отношений);
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества и корпоративного общения;
- осуществления прав и законных интересов Общества в рамках осуществления своей деятельности, либо достижения общественно значимых целей;
- осуществления коммуникации с субъектами персональных данных;
- предоставления субъектам персональных данных услуг, продуктов, программ (далее – сервисы) Общества, информации о работе сервисов Общества (информационные сообщения, уведомления);
- оценки и анализа работы сайтов, сервисов Общества, контроля и улучшения качества работы Общества, его сервисов;
- проведения Обществом акций (в том числе рекламных), опросов, интервью, тестирований с помощью сайта и сервисов Общества;
- предоставления субъектам персональных данных информации о деятельности Общества;
- рекламы и продвижении продукции, товаров, работ, услуг Общества;
- обработки обращений и запросов от субъектов персональных данных;
- регистрации и обслуживания пользователей на сайте Общества;
- проведения мероприятий и обеспечение участия в них субъектов персональных данных;
- в иных целях, не противоречащих законодательству Республики Беларусь.
6.2. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность об этом субъекта персональных данных и в случае необходимости получить новое согласие на обработку.
6.3. Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.
ГЛАВА 7
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Общие правила:
7.1.1. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и сети Интернет.
7.1.2. В случаях, установленных законодательством Республики Беларусь, основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных, в том числе в письменной форме и форме электронного документа.
7.1.3. Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в следующих случаях:
- при получении персональных данных Оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
- в случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных;
7.2. Сбор персональных данных:
7.2.1. Источником информации обо всех персональных данных является непосредственно субъект персональных данных, общедоступные источники;
7.2.2. Если иное не установлено законодательством о защите персональных данных, Общества вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо при наличии письменного согласия субъекта о предоставлении его персональных данных третьими лицами.
7.3. Хранение персональных данных:
7.3.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных;
7.3.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Общества;
7.3.3. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты.
7.4. Использование:
7.4.1. Персональные данные обрабатываются и используются для целей, указанных в п. 6.1 Политики;
7.4.2. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящей Политикой.
7.5. Передача:
7.5.1. Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
7.5.2. Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания;
7.5.3. При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче;
7.5.4. Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.
7.6. Поручение обработки:
7.6.1. Общество вправе поручить обработку персональных данных уполномоченному лицу.
7.7. Защита:
7.7.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации.
7.7.2. Для защиты персональных данных Общества принимает необходимые предусмотренные законом меры включая, но не ограничиваясь:
- ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
- обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
- организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
- контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
- проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
- внедряет программные и технические средства защиты информации в электронном виде;
- обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
ГЛАВА 8
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных вправе:
8.1.1. В любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном ст. 14 Закона о защите персональных данных, либо в форме, посредством которой получено его согласие.
Общество обязан в 15-дневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательством Республики Беларусь.
При отсутствии технической возможности удаления персональных данных Общество обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок. Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения не является незаконной.
8.1.2. Получить информацию, касающуюся обработки своих персональных данных, содержащую:
- наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) Оператора;
- подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано его согласие;
- наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу.
- иную информацию, предусмотренную законодательством.
8.1.3. Требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.
8.2. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.
8.3. Субъект персональных данных обязан:
- предоставлять Обществу достоверные персональные данные;
- своевременно сообщать Обществу об изменениях и дополнениях своих персональных данных;
- осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных;
- исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных;
8.4. Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.
ГЛАВА 9
ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА
9.1. Общество вправе:
- устанавливать правила обработки персональных данных, вносить изменения и дополнения в настоящую Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;
- осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.
9.2. Общество обязано:
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- получать согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- обеспечивать защиту персональных данных в процессе их обработки;
- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных настоящим законодательством Республики Беларусь;
- выполнять иные обязанности, предусмотренные настоящим законодательством Республики Беларусь.
ГЛАВА 10
КОНТРОЛЬ ЗА БЕЗОПАСНОТЬЮ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Контроль соблюдения требований настоящей Политики возлагается на Директора Общества. При необходимости контролирующие функции выполняют также третьи лица и организации, действующие на основании требований законодательства.
10.2. Контроль за актуальностью Политики осуществляет Директор Общества.
10.4. Объектами контроля информационной безопасности являются информационные ресурсы и персональные данные, полученные Обществом.
ГЛАВА 11
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящем Положении, регулируются законодательством Республики Беларусь.
11.2 Общество при необходимости в одностороннем порядке вносит в Политику соответствующие изменения и/или дополнения без предварительного и/или последующего уведомления субъектов персональных данных.
11.3 Настоящая Политика является общедоступной на официальном сайте Общества: https://ferdinal.by.
11.4. Политика и отношения между Оператором и Заказчиком регулируются и толкуются в соответствии с законодательством Республики Беларусь. Вопросы, не урегулированные Политикой, подлежат разрешению в соответствии с законодательством Республики Беларусь.
11.5. Политика представляет собой публичную оферту, в соответствии с частью 2 статьи 407 Гражданского Кодекса Республики Беларусь. Факт проставления отметки о согласии с содержанием Политики Заказчиком на Сайте является полным и безоговорочным акцептом настоящей Политики.