ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 
У ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ
КУРИЛО НАТАЛИИ КОНСТАНТИНОВНЫ

 

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Индивидуальный предприниматель Курило Наталия Константиновна (далее – Оператор) уделяет внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.
Настоящая Политика является одной из принимаемых Оператором мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).
1.2. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
Политика не применяется к обработке персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), а также пользователей интернет-сайта (в части cookie-файлов).
1.3. В настоящей Политике используются термины и их определения в значении, определенном Законом.
1.4. Обработка персональных данных осуществляется Оператором с соблюдением правил и принципов, предусмотренных следующими нормативно-правовыми актами:
·         Конституция Республики Беларусь;
·         Закон о персональных данных;
·         Закон Республики Беларусь от 21.07.2008 г. № 418-З «О регистре населения»;
·         Закон Республики Беларусь от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации»;
·         иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
1.5. Персональные данные у Оператора обрабатываются с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в сфере защиты персональных данных.
1.6. Согласие может быть дано в одной из следующих форм:
1) в письменной форме путем подписания документа, в котором выражено согласие субъекта персональных данных на обработку персональных данных;
2) в форме электронного документа путем подписания документа с помощью специальных программ с использованием электронной цифровой подписи;
3) в другой электронной форме:
- путем введения кода, полученного в СМС-сообщении или в письме на электронную почту.
- путем проставления соответствующей отметки на интернет-сайте.
- другими способами, позволяющими установить факт получения согласия.
 
2. ЦЕЛИ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЧЬИ ДАННЫЕ ПОДВЕРГАЮТСЯ ОБРАБОТКЕ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор осуществляет обработку персональных данных определенных категорий субъектов персональных данных в объеме, на правовых основаниях и в сроки применительно к каждой цели согласно приложению 1 к настоящей Политике и в настоящей Политике.
2.2. Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.
2.3. Оператор вправе предоставлять персональные данные третьим лицам только при наличии оснований, предусмотренных законодательными актами.
2.4. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.6. Обработка персональных данных осуществляется Оператором на основе следующих принципов:
-         обработка персональных данных осуществляется на законной и справедливой основе;
-         обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
-         обработка персональных данных осуществляется с согласия Субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
-         обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
-         содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
-         обработка персональных данных носит прозрачный характер;
-         субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
-         оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
-         хранение персональных данных осуществляется в форме, позволяющей идентифицировать Субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2.7. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.8. Обработка специальных персональных данных осуществляется в соответствии с законодательством Республики Беларусь.
2.9. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, Оператором не осуществляется.
 
3. УПОЛНОМОЧЕННЫЕ ЛИЦА. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
3.2. Оператор вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
3.3. Оператор при осуществлении своей деятельности имеет намерение осуществлять трансграничную передачу данных.
3.4. Трансграничная передача данных может быть осуществлена Оператором контрагентам в иностранных государствах, оказывающих Оператору услуги, связанные с осуществлением деятельности.
3.5. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
3.5.1.    дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
3.5.2.    персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
3.5.3.    персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
3.5.4.    такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
3.5.5.    персональные данные обрабатываются в рамках исполнения международных договоров Республики Беларусь;
3.5.6.    такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
3.5.7.    получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
3.6. Перечень стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14.
 
4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъекты персональных данных в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) наделены широким кругом прав. Права субъекта персональных данных являются действенным инструментом контроля за обработкой принадлежащих ему персональных данных.
Соответствующие права принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).
4.2. Основные права субъектов персональных данных закреплены в Законе.
К ним относятся:
4.2.1. право на отзыв согласия;
В соответствии с пунктом 8 статьи 5 Закона субъект персональных данных вправе отозвать свое согласие в порядке, установленном Законом.
Право на отзыв согласия субъекта персональных данных может быть реализовано только в том случае, когда правовым основанием обработки персональных данных выступает согласие субъекта персональных данных.
В случаях, когда обработка персональных данных осуществляется без согласия субъекта персональных данных на ином правовом основании (например, в целях совершения действий, установленных в договоре, который заключил и оператор, и субъект персональных данных), субъект персональных данных рассматриваемым правом не обладает.
В этой связи при поступлении заявления субъекта персональных данных о реализации права на отзыв согласия оператор сообщает ему о невозможности реализации данного права.
Правовым последствием отзыва является утрата оператором права на обработку персональных данных этого субъекта, за исключением случаев, когда оператор имеет иные предусмотренные Законом основания для обработки таких данных.

4.2.2. право на получение информации, касающейся обработки персональных данных;
Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:
-     наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
-     подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
-     его персональные данные и источник их получения;
-     правовые основания и цели обработки персональных данных;
-     срок, на который дано его согласие;
-     наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
-     иную информацию, предусмотренную законодательством.
Оператор обязан в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, касающуюся обработки персональных данных либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.
Информация, касающаяся обработки персональных данных субъекта, не предоставляется:
-     если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;
-     если обработка персональных данных осуществляется:
-     в соответствии с законодательством о государственной статистике;
-     в соответствии с законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь;
-     в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;
-     по вопросам ведения криминалистических учетов;
-     в иных случаях, предусмотренных законодательными актами.

4.2.3. право требовать внесения изменений в персональные данные;
Субъект персональных данных вправе требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.
При подаче заявления для внесения изменений в персональные данные субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений.
Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

4.2.4. право на получение информации о предоставлении персональных данных третьим лицам;
Субъект персональных данных вправе получать от оператора информацию о предоставлении своих персональных данных третьим лицам.
Данное право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно.
Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных:
-         предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо
-         уведомить субъекта персональных данных о причинах отказа в ее предоставлении.
Информация о предоставлении персональных данных третьим лицам может не предоставляться, если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции, а также в случаях, предусмотренных пунктом 3 статьи 11 Закона:
-         если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;
-         если обработка персональных данных осуществляется:
-         в соответствии с законодательством о государственной статистике;
-         в соответствии с законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь;
-         в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;
-         по вопросам ведения криминалистических учетов;
-         в иных случаях, предусмотренных законодательными актами.

4.2.5. право требовать прекращения обработки персональных данных и (или) их удаления;
Субъект персональных данных вправе требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами, например:
-         при обработке персональных данных по истечению установленного срока их хранения;
-         если персональные данные носят избыточный характер;
-         если нет надлежащего правового основания для обработки персональных данных.
Оператор при отсутствии оснований для обработки персональных данных обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных.
При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
Следует учитывать, что оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. Например, если законодательством установлена необходимость хранения документов, содержащих персональные данные, в течении определенного срока.

4.2.6. право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
Субъект персональных данных вправе обжаловать действия (бездействие) и решения оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных.
Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном гражданским процессуальным законодательством.

4.2.7. право на возмещение морального вреда.
Субъект персональных данных имеет право на возмещение морального вреда, причиненного вследствие нарушения его прав, установленных Законом.
Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Компенсация морального вреда осуществляется в соответствии с гражданским и гражданским процессуальным законодательством.

4.3. Реализация прав субъекта персональных данных
4.3.1. Права субъекта персональных данных реализуются путем подачи заявления оператору. В случае направления заявления субъекта персональных данных для реализации своих прав уполномоченному лицу, последний не обязан отвечать на данный запрос. Вместе с тем, ответ уполномоченным лицом на заявление субъекта персональных данных не будет противоречить законодательству о персональных данных.
4.3.2. Порядок подачи заявления субъектом персональных данных оператору установлен в статье 14 Закона.
4.3.3. Для реализации прав, предусмотренных статьями 10 – 13 Закона, субъекту персональных данных необходимо подать оператору заявление в письменной форме либо в виде электронного документа.
Заявление субъекта персональных данных должно содержать:·
  фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
·  дату рождения субъекта персональных данных;
·  идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
·  изложение сути требований субъекта персональных данных;
·  личную подпись либо электронную цифровую подпись субъекта персональных данных.
Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
Срок ответа на заявление зависит от реализуемого субъектом персональных данных права (часть первая пункта 2 статьи 10, пункт 2, часть вторая пункта 4 статьи 11, пункт 2 статьи 12, часть первая пункта 2 статьи 13 Закона):


5. ОБЯЗАННОСТИ ОПЕРАТОРА.
5.1. Оператор обязан:
5.1.1. издавать документы, определяющие политику в отношении обработки персональных данных;
5.1.2. применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
5.1.3. разъяснять субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством;
5.1.4. блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством;
5.1.5. уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;
5.1.6. представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством и локальными правовыми актами;
5.1.7. осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству о персональных данных, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным правовым актам Оператора;
5.1.8. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
5.1.9. отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
5.1.10.  сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
5.1.11.  исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
5.1.12.  исполнять иные обязанности, предусмотренные Законом о персональных данных.


Приложение № 1 к политике в отношении обработки и защиты персональных данных у Индивидуального предпринимателя Курило Н.К.

 

РЕЕСТР ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

* Постановление Министерства юстиции Республики Беларусь от 24 мая 2012 года №140 ”О перечне типовых документов Национального архивного фонда Республики Беларусь“.