Политика обработки персональных данных
ОБЩИЕ ПОЛОЖЕНИЯ
Общество с ограниченной ответственностью «КиберЗубр» (далее — ООО «КиберЗубр», Оператор), с уважением относится к соблюдению прав субъектов персональных и принимает все доступные меры для их защиты. В своей повседневной деятельности и ведении бизнеса, мы бережно и ответственно относимся к любой информации о частной жизни.
Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.
Настоящая Политика обработки персональных данных (далее — Политика):
определяет деятельность Оператора в отношении обработки персональных данных, разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся у субъектов персональных данных права и механизмы их реализации;
не применяется к обработке персональных данных в процессе трудовой деятельности, при осуществлении административных процедур (в отношении работников и бывших работников Оператора);
применяется к отношениям, связанным с обработкой персональных данных представителей субъектов хозяйствования, заключивших гражданско-правовые договора с Оператором;
публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора: https://www.cyberzubr.by
В Политике используются термины и их определения в значении, определенном в Законе Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных».
Юридический адрес Оператора: 220056, г. Минск, ул. Стариновская 15, пом. 9Н.
Во всех случаях, не урегулированных Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь.
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
| Цель обработки персональных данных | Категории субъектов персональных данных, чьи данные подвергаются обработке | Перечень обрабатываемых персональных данных | Правовые основания обработки персональных данных | Срок хранения персональных данных |
| Рассмотрение жалоб субъектов персональных данных | 1.Лица, направившие жалобу на действия (бездействие) Оператора
2. Иные лица, чьи персональные данные указаны в жалобе |
Фамилия, собственное имя, отчество, адрес места жительства (места пребывания), содержание жалобы, иные персональные данные, указанные в жалобе | Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6, абзац семнадцатый пункта 2 статьи 8 Закона, абзац третий пункта 3 статьи 18 Закона) | 5 лет |
| Рассмотрение обращений | 1. Лица, направившие обращение 2. Иные лица, чьи персональные данные указаны в обращении |
Фамилия, собственное имя, отчество, адрес места жительства (места пребывания), содержание обращения, иные персональные данные, указанные в обращении | Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6, абзац семнадцатый пункта 2 статьи 8 Закона, пункт 1 статьи 3 Закона Республики Беларусь ”Об обращениях граждан и юридических лиц“) | 5 лет |
| Предварительная запись на личный прием | Лица, обращающиеся на личный прием | Фамилия, собственное имя, отчество, контактный телефон, содержание вопроса | Обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 Закона, пункт 7 статьи 6 Закона Республики Беларусь ”Об обращениях граждан и юридических лиц“) | 5 лет |
| Оказание услуг аудита информационной безопасности, разработки локальных правовых актов, регламентирующих порядок обеспечения информационной безопасности заказчика, комплаенс - аудита, обучения и моделирования фишинговых атак | 1. Лица, уполномоченные на подписание договора. 2. Субъекты, являющиеся получателями информационно-консультационных услуг. |
Фамилия, собственное имя, отчество лица, личная подпись, иные персональные данные (при необходимости) | 1. В случае заключения договора с физическим лицом – обработка на основании договора с субъектом персональных данных (абзац пятнадцатый статьи 6 Закона). 2. В случае заключения договора с юридическим лицом – обработка персональных данных, которая является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6, абзац восьмой пункта 3 статьи 18 Закона, статья 49, пункт 5 статьи 186 Гражданского кодекса Республики Беларусь) |
3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора. |
| Заключение и исполнение гражданско-правовых договоров, не связанных с предоставлением услуг тестирования на проникновение и аудита информационной безопасности | Лица, уполномоченные на подписание договора | Фамилия, собственное имя, отчество либо инициалы лица, должность лица, подписавшего договор, иные данные в соответствии с условиями договора (при необходимости) | 1.В случае заключения договора с физическим лицом – обработка на основании договора с субъектом персональных данных
(абзац пятнадцатый статьи 6 Закона). 2. В случае заключения договора с юридическим лицом – обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 Закона, статья 49, пункт 5 статьи 186 Гражданского кодекса Республики Беларусь) |
3 года после окончания срока действия договора, проведения налоговыми органами проверки соблюдения налогового законодательства. Если налоговыми органами проверка соблюдения налогового законодательства не проводилась – 10 лет после окончания срока действия договора |
| Рассмотрение резюме (анкет, автобиографий, листков по учету кадров, заявлений, рекомендательных писем и т.п.) соискателей на вакантные должности | Лица, направившие резюме Оператору | Персональные данные в соответствии с содержанием резюме (анкет, автобиографий, листков по учету кадров, заявлений, рекомендательных писем и т.п.) | 1. При направлении резюме на электронную почту Оператора – согласие субъекта персональных данных (статья 5 Закона). 2. При направлении (предоставлении) резюме в письменном виде или в виде электронного документа) – абзац шестнадцатый статьи 6 Закона). 3.В отношении распространенных ранее персональных данных (например, на сервисе rabota.by) – абзац девятнадцатый статьи 6 Закона |
Не более 1 года (в случае непринятия на работу); 1 месяц (в случае принятия на работу |
| Оформление (прием) на работу | Соискатели на трудоустройство, члены их семей | В соответствии со статьей 26 Трудового кодекса Республики Беларусь, пунктом 11 Декрета Президента Республики Беларусь от 15 декабря 2014 г. № 5 ”Об усилении требований к руководящим кадрам и работникам организаций“, иными законодательными актами | Обработка персональных данных при оформлении трудовых отношений (абзац восьмой статьи 6, абзац третий пункта 2 статьи 8 Закона) | 5 лет gосле увольнения |
Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъекты персональных данных, если иное не предусмотрено законодательством, имеют право:
– принимать решение о предоставлении своих персональных данных Оператору;
– вносить, дополнять или изменять обрабатываемые персональные данные (на основании предоставленных Оператору соответствующих документов и (или) их заверенных в установленном порядке копий);
– требовать прекращения обработки его персональных данных и (или) их удаления;
– отзывать согласие на обработку своих персональных данных;
– получать информацию, касающуюся фактов подтверждения обработки его персональных данных Оператором/уполномоченным лицом;
– получать информацию, об источниках получения персональных данных Оператором;
– получать информацию о предоставлении Оператором его персональных данных третьим лицам (информация предоставляется один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами);
– обжаловать действия, бездействия и решения Оператора, связанные с обработкой персональных данных в течении 3 месяцев со дня, когда субъекту персональных данных стало известно о нарушении его прав;
– получать информацию об Операторе и месте его расположения;
– получать информацию о правовых основаниях обработки Оператором персональных данных и сроках их хранения;
– получать информацию о сроках, на которые дано согласие на обработку персональных данных (при условии, что такая обработка осуществляется на основании согласия).
Субъект персональных данных для реализации прав должен подать Оператору заявление в письменной форме на бумажном носителе или в виде электронного документа.
Заявление субъекта персональных данных в целях реализации прав должно содержать:
– фамилию, имя, отчество (при наличии);
– дату рождения;
– адрес места жительства (места регистрации);
– идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
– изложение сути требований;
– личную подпись (на бумажном носителе) либо электронную цифровую;
– подпись (для электронного документа).
Право на отзыв согласия субъектом персональных данных не может быть реализовано в случае, когда обработка осуществляется на основании гражданско-правового договора, трудового договора, иной информации, направленной Оператору самим субъектом персональных данных в целях осуществления административных процедур и т.д.
О нарушении работниками Оператора или уполномоченными лицами Оператора, перечисленных прав, субъект персональных данных может проинформировать Оператора посредством электронной почты, направив информацию на электронный адрес – info@cyberzubr.by.
Представители юридических лиц и индивидуальных предпринимателей осуществляют подачу заявления в письменном виде (на бумажном носителе), заказным письмом на юридический адрес Оператора.
В случае неудовлетворенности ответом Оператора на заявление или нарушения сроков ответа, обратившийся субъект персональных данных может обратится для защиты своих прав в Национальный центр защиты персональных данных Республики Беларусь (далее - НЦЗПД) по адресу в сети Интернет: www.cpd.by.
ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
В соответствии с требованиями законодательства Республики Беларусь Оператор обязуется:
– ознакомить субъекта персональных данных с Политикой путем размещения в открытом доступе на официальном сайте Оператора;
– разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
– по требованию субъекта персональных данных изменить, блокировать или удалить обрабатываемые персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, за исключением случаев, когда иной порядок установлен законодательством Республики Беларусь;
– предоставить один раз год на безвозмездной основе субъекту персональных данных по его заявлению информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
– в течение 15 календарных дней дать ответ на заявление субъекта персональных данных по отзыву согласия, внесению изменений в персональные данные, предоставлению персональных данных третьим лицам в течении года, предшествовавшего дате подачи заявления и прекращению обработки персональных данных (их удалению);
– дать ответ на заявление субъекта персональных данных в течение 5 рабочих дней после получения заявления о предоставлении информации, касающейся обработки его персональных данных, если иной срок не установлен законодательством Республики Беларусь;
– рассмотреть и давать ответы на жалобы в порядке, установленном законодательством Республики Беларусь об обращениях граждан и юридических лиц;
– получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательными актами;
– в случае достижения цели обработки персональных данных прекратить обработку персональных данных и удалить, а в случае невозможности блокировать соответствующие персональные данные, если иное не предусмотрено законодательством Республики Беларусь;
– по требованию субъекта персональных данных прекратить обработку персональных данных и удалить, а в случае невозможности блокировать персональные данные, если иное не предусмотрено в договоре между Оператором и субъектом персональных данных или в законодательстве Республики Беларусь;
– уведомлять НЦЗПД о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как Оператору стало известно о таких нарушениях. Исключение составляют случаи, определяемые НЦЗПД;
– исполнять требования актов реагирования государственных органов и организаций об устранении причин и условий, способствующих нарушениям законодательства о защите персональных данных.
Оператор при обработке персональных данных осуществляет действие или совокупность действий, включая: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Оператор имеет право поручить обработку персональных данных третьему лицу на основании заключенных договорных отношений или в соответствии с законодательством Республики Беларусь.
Распространение персональных данных Оператор осуществляет только в соответствии с требованиями законодательства Республики Беларусь.
Оператор не осуществляет трансграничную передачу предоставленных субъектами персональных данных.
Оператор осуществляет разъяснения субъектам персональных данных о порядке осуществляемой им обработки и организации защиты персональных данных, обрабатываемых в информационных системах (ресурсах) и без средств автоматизации Оператора.
МЕРЫ ПО КОНТРОЛЮ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению их защиты от неправомерного или случайного доступа, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение защиты персональных данных достигается посредством реализации следующих мероприятий:
– определения угроз безопасности персональных данных при их обработке;
– установления режима(-ов) обработки персональных данных;
– создания документов, устанавливающих требования к обработке персональных данных и их защите;
– назначения ответственных по обеспечению контроля за организацией обработки персональных данных.
За нарушение установленного законодательством Республики Беларусь порядка обработки персональных данных, их неправомерное разглашение или распространение виновные работники Оператора, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.
ТРЕБОВАНИЯ, ПРИМЕНЯЕМЫЕ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЕТИ ИНТЕРНЕТ
Оператором могут обрабатываться персональные данные в сети Интернет при представлении официальной информации о деятельности Оператора в сети Интернет посредством социальных сетей: Instagram и LinkedIn, а также мессенджера Telegram (далее – информационные ресурсы).
Регистрация официальных аккаунтов, каналов информационных ресурсов Оператором в сети Интернет осуществляется с телефонных номеров или адресов электронной почты, зарегистрированных в установленном порядке на Оператора.
В официальных каналах, аккаунтах размещается информация о его владельце и адресе расположения.
Оператором осуществляется размещение персональных данных субъектов персональных данных с их согласия на сайте Оператора в соответствии с правовыми нормами и требованиями, предусмотренными законодательством в области защиты персональных данных.
На главную