политика обработки персональных данных

Оператор персональных данных:
Частное унитарное предприятие «АлендиКомпани»
Юридический адрес: г. Минск, ул. Левкова, д. 43, этаж 2, оф. 215
E-mail: info@alendi.by

1. Общие положения

Настоящая Политика обработки персональных данных (далее — Политика) определяет правовые, организационные и технические основы обработки персональных данных, осуществляемой Частным Унитарным предприятием «АлендиКомпани» (далее — Оператор).

Политика разрабатывается в соответствии с положениями Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных», а также с учётом разъяснений и методических рекомендаций Национального центра защиты персональных данных. Кроме того, при составлении настоящей Политики учтены международные подходы в сфере обеспечения конфиденциальности, включая практику ЕС и стран ЕАЭС.

Политика предназначена для широкого круга субъектов, чьи персональные данные могут быть получены Оператором в рамках осуществления законной деятельности. Она действует как в отношении данных, переданных через сайт https://alendi.by, так и в случае иного прямого или косвенного взаимодействия субъекта с Оператором: посредством электронной почты, мессенджеров, документов, устных консультаций или подписания договоров.

Настоящая Политика является локальным правовым актом и обязательна к исполнению всеми сотрудниками и уполномоченными лицами, участвующими в обработке персональных данных.

2. Обрабатываемые данные и категории субъектов

Персональные данные — это информация, которая позволяет установить личность физического лица либо прямо, либо косвенно. Объём и состав таких данных могут варьироваться в зависимости от цели их обработки, но Оператор всегда исходит из принципа достаточности, т.е. обрабатывает только те сведения, которые необходимы для конкретной цели, и не более.

Среди субъектов персональных данных, чьи сведения могут обрабатываться Оператором, находятся:

• физические лица, направившие обращения или заявки через сайт;
• клиенты, заключившие договоры на оказание услуг;
• подписчики рассылок и новостей;
• кандидаты, отправившие резюме;
• пользователи, взаимодействующие с Оператором через формы обратной связи, чат-боты, мессенджеры, Telegram-каналы и иные цифровые каналы.

В процессе взаимодействия Оператор может обрабатывать следующие данные: фамилию, имя, отчество, контактные данные (включая номера телефонов, адреса электронной почты, мессенджеры), информацию о месте работы, фотографии и видеозаписи (в случае согласия на их обработку), сведения, содержащиеся в резюме, анкетах и сообщениях, а также данные, полученные автоматически через сайт — такие как IP-адрес, сведения о браузере и устройстве, история посещений, cookie и иные технические идентификаторы.

Оператор не собирает специальные категории данных (например, о здоровье, политических взглядах, религиозных убеждениях и т.д.) и не использует автоматизированное принятие решений, способное повлиять на права субъекта без участия человека.

3. Цели и правовые основания обработки

Обработка персональных данных всегда имеет чётко определённую, законную и обоснованную цель. В противном случае сбор и использование информации будет признаваться незаконным. Оператор осуществляет обработку персональных данных только в объёме, необходимом для достижения следующих целей:

а) Реализация договорных и преддоговорных отношений.
Это включает обработку персональных данных, необходимых для заключения и исполнения договоров, предоставления услуг, обработки заказов, выставления счетов, оказания поддержки, урегулирования претензий, в том числе в электронной форме.

б) Ответ на обращения и заявки.
Если лицо обращается через форму обратной связи, по средствам email или мессенджера, Оператор обрабатывает предоставленные сведения для подготовки и направления ответа, а также для последующего делопроизводства (при необходимости). Это правомерно в силу добровольного запроса субъекта.

в) Подбор персонала и работа с кандидатами.
В случаях получения резюме, анкет, тестовых заданий или других сведений, Оператор обрабатывает указанные в них данные для рассмотрения кандидатуры и возможного включения в кадровый резерв. Такая обработка основывается на согласии кандидата, выраженном фактом направления резюме.

г) Маркетинг и коммуникация.
Если субъект дал согласие, Оператор вправе направлять новости, информацию о мероприятиях и индивидуальные предложения. При этом согласие может быть отозвано в любой момент. Отправка осуществляется только при наличии зафиксированного добровольного волеизъявления субъекта.

д) Ведение учёта и выполнение обязательств по закону.
Оператор обязан соблюдать законодательство в сферах налогообложения, бухгалтерского и архивного учёта, трудовых отношений. Это означает, что некоторые данные подлежат обработке и хранению по строго установленным правилам, независимо от согласия субъекта.

е) Защита прав и интересов.
В исключительных случаях Оператор может обрабатывать персональные данные в целях защиты своей правомерной деятельности, включая судебные споры, безопасность инфраструктуры и доказательство добросовестного исполнения обязательств. Такая обработка осуществляется при соблюдении баланса интересов и не должна нарушать прав субъектов.

4. Хранение, защита и удаление персональных данных

Персональные данные обрабатываются и хранятся Оператором в форме, позволяющей идентифицировать Субъекта персональных данных, только до достижения конкретных, заранее определённых целей, либо до момента утраты необходимости в их достижении. Основания и сроки хранения определяются как законодательством Республики Беларусь, так и внутренними документами Оператора. По истечении установленных сроков хранения, данные подлежат удалению, обезличиванию либо уничтожению.

Персональные данные обрабатываются как в бумажной, так и в электронной форме. Хранение бумажных документов, содержащих персональные данные, осуществляется в помещениях с ограниченным доступом, оборудованных в соответствии с требованиями безопасности. Электронные персональные данные размещаются в информационных системах, находящихся под контролем Оператора, с исключением внесистемного хранения. Доступ к таким системам осуществляется по индивидуальным учетным данным, с использованием технических и программных средств защиты информации, включая антивирусные и криптографические средства, ограничение доступа и разграничение прав пользователей.

Оператор реализует комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных. В их число входит назначение ответственного за внутренний контроль обработки персональных данных, регламентация доступа к сведениям, ознакомление работников с нормативными и локальными актами в сфере защиты персональных данных, ведение учёта согласий и обращений субъектов, организация работы с системами, содержащими персональные данные, а также контроль за субподрядчиками, получающими доступ к таким данным. Оператор поддерживает в актуальном состоянии перечень информационных ресурсов, содержащих персональные данные, с указанием категорий данных, сроков хранения и оснований обработки.

Доступ к персональным данным предоставляется только работникам, для которых такая работа прямо предусмотрена их служебными обязанностями. Лица, имеющие доступ к персональным данным, обязаны немедленно информировать непосредственного руководителя о фактах утраты носителей, попытках несанкционированного доступа либо других инцидентах, способных повлечь утечку или неправомерную обработку персональных данных.

Удаление, блокирование или изменение персональных данных осуществляется в случаях, предусмотренных законодательством, по требованию субъекта персональных данных либо уполномоченного органа, а также при утрате необходимости в их хранении или окончании правовых оснований для их обработки. Если основанием для обработки служил договор, прекращение его действия влечёт прекращение законной обработки, за исключением случаев, предусмотренных самим договором или законом.

Обезличивание персональных данных проводится методами, исключающими возможность идентификации субъекта без использования дополнительной информации. Уничтожение бумажных носителей осуществляется в порядке, предусмотренном законодательством об архивном деле и делопроизводстве. Удаление цифровых данных из систем Оператора производится без возможности восстановления.

5. Сроки хранения персональных данных

Оператор не хранит персональные данные бессрочно. Все сведения уничтожаются или обезличиваются по истечении срока, необходимого для цели обработки, либо по наступлению законных оснований для удаления (например, при отзыве согласия). Сроки определяются следующим образом:

• для данных из обращений, не повлёкших юридических последствий (договоров, обязательств) — не более 1 календарного года с даты последнего контакта;
• данные, обработанные в рамках договора — в течение срока действия договора, а после его завершения — в течение 10 лет, если иное не предусмотрено законодательством о бухгалтерском и архивном учёте;
• данные участников рассылок — до момента отзыва согласия, но не более 3 лет с момента последнего взаимодействия (например, открытия письма или клика по ссылке);
• резюме, анкеты и иные сведения кандидатов — до одного года с момента последнего контакта, если иное не согласовано;
• cookie и идентификаторы устройств — в течение срока, предусмотренного конкретной cookie, но не более 13 месяцев с момента её установки;
• видеонаблюдение — в течение 30 календарных дней, если иной срок не определён целью безопасности.

По завершении срока хранения данные подлежат безопасному уничтожению или обезличиванию — это обеспечивается внутренними регламентами Оператора.

6. Условия передачи данных третьим лицам и контроль над обработкой

Персональные данные, полученные Оператором, могут передаваться третьим лицам только при наличии правового основания. При этом Оператор исходит из принципа минимальной необходимой передачи и соблюдения режима конфиденциальности.

Передача допускается:

• государственным органам и организациям Республики Беларусь (включая Министерство по налогам и сборам, Фонд социальной защиты населения, Белгосстрах, суды, таможенные органы и др.) — в случае, если передача предусмотрена законом или происходит в рамках административной процедуры, в том числе при проведении проверок;
• уполномоченным техническим исполнителям — это организации и физические лица, которые по поручению Оператора выполняют работы, связанные с размещением сайта, отправкой писем, обработкой данных в CRM-системах, обслуживанием ИТ-инфраструктуры;
• банкам и платёжным системам — при осуществлении расчётов;
• партнёрам и субподрядчикам — только при условии, что субъект был надлежащим образом информирован и дал согласие, если оно требуется законом.

Иные лица, которым оператор может передавать персональные данные в целях взаимодействия с Субъектами персональных данных, в частности:

• Компаниям – операторам электросвязи, операторам сервисов обмена электронными сообщениями с целью отправки и получения информационных сообщений посредством Viber, Telegram, иных мессенджеров и социальных сетей (Instagram, Facebook), обмена информацией и документами с Субъектами персональных данных;
• Почтовым сервисам обмена электронными сообщениями – в целях коммуникации, осуществления обмена информацией и документами в электронном виде между Оператором и Субъектами персональных данных;
• РУП «Белпочта» – в целях оказания услуг по пересылке корреспонденции;
• Сервисам Google (Google Drive, Google Docs, Google Sheets, YouTube и др.);
• Иным собственникам (владельцам) информационных ресурсов (поставщикам программных продуктов), с использованием которых Оператором осуществляется обработка персональных данных, когда такие программные продукты располагаются на серверах, не принадлежащих Оператору, а также в случаях оказания Оператору услуг по их технической поддержке.

Оператор заключает договоры с уполномоченными лицами и устанавливает в них обязательные требования к защите данных, в том числе:

• запрет на обработку не по назначению;
• запрет на передачу другим лицам (субобработка без согласия Оператора);
• обязательство соблюдать технические меры защиты (шифрование, контроль доступа);
• обязанность уведомлять Оператора об инцидентах и сотрудничать в устранении последствий.

Кроме того, Оператор осуществляет контроль за исполнением этих условий — в том числе путём документарного подтверждения, выборочных проверок и ведения перечня уполномоченных лиц.

7. Трансграничная передача персональных данных

Персональные данные могут быть переданы в другие государства, только если это необходимо для реализации цели обработки и соблюдены все требования закона. Под трансграничной передачей понимается перемещение персональных данных за пределы территории Республики Беларусь — как на серверы, расположенные в других странах, так и при использовании ресурсов, обрабатывающих данные извне (например, облачные сервисы, мессенджеры, системы рассылки).

Передача допускается в следующие категории государств:

а) Страны, признанные обеспечивающими надлежащий уровень защиты персональных данных.
Это, в частности, государства-члены Евразийского экономического союза, Европейского союза и иные страны, включённые в официальный перечень, утверждённый НЦЗПД. Передача в такие государства возможна на любом правовом основании: по согласию, в рамках договора, при исполнении закона.

б) На территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных — в случаях, предусмотренных статьёй 9 Закона о защите персональных данных, в том числе:

• когда дано Согласие Субъекта персональных данных при условии, что Субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
• когда персональные данные получены на основании договора, заключенного (заключаемого) с Субъектом персональных данных, в целях совершения действий, установленных этим договором;
• при размещении информации о своей деятельности в глобальной компьютерной сети Интернет;
• когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

Риски в связи с отсутствием надлежащего уровня защиты прав Субъектов персональных данных в государствах, куда передаются персональные данные, могут выражаться в следующем (включая, но не ограничиваясь):

• отсутствие законодательного регулирования защиты прав субъектов персональных данных, неисполнимость решений компетентных органов;
• отсутствие независимого контролирующего органа по защите прав субъектов персональных данных;
• ограниченный круг прав субъектов персональных данных;
• широкий доступ к персональным данным у органов государственной власти в целях национальной безопасности;
• вероятность использования ненадлежащих способов получения персональных данных, незаконной обработки персональных данных, в результате чего персональные данные могут стать доступными неограниченному кругу лиц.

8. Права субъекта персональных данных

Субъект обладает рядом неотъемлемых прав, предусмотренных Законом, реализация которых не может быть ограничена ни договором, ни условиями предоставления услуги. Эти права включают:

1. Право на информирование. Субъект имеет право знать, какие именно его данные обрабатываются, в каких целях, кому они передаются и как защищаются. Оператор обязан по запросу предоставить исчерпывающую информацию.
2. Право на доступ. Субъект вправе получить от Оператора копию всех обрабатываемых персональных данных. Это включает как саму информацию, так и сведения о действиях, которые с ней были совершены.
3. Право на исправление. Если данные устарели, являются неточными или неполными, субъект может потребовать их корректировки. Оператор обязан это сделать в разумный срок.
4. Право на отзыв согласия. Согласие на обработку персональных данных может быть отозвано в любое время, без объяснения причин. Отзыв не влияет на законность ранее осуществлённой обработки, но влечёт прекращение обработки на будущее.
5. Право на ограничение или запрет обработки. Субъект может заявить возражение против использования его данных — например, в маркетинговых целях или при наличии оснований полагать, что обработка осуществляется незаконно.
6. Право на удаление данных. Это право, известное как «право быть забытым», позволяет субъекту требовать уничтожения всех сведений, если они больше не нужны для цели обработки, либо при наличии иных оснований, предусмотренных законом.
7. Право на переносимость. Если субъект выразил такое желание, Оператор должен предоставить его персональные данные в структурированном, машиночитаемом формате (например, в виде XML или JSON-файла), чтобы субъект мог передать их другому оператору.
8. Право на защиту. Если субъект считает, что его права нарушены, он вправе обратиться с жалобой в Национальный центр защиты персональных данных либо в суд. Кроме того, он вправе требовать компенсации убытков и морального вреда.

9. Механизм реализации прав субъекта

Оператор обеспечивает удобный и прозрачный порядок реализации прав субъекта. Заявления могут подаваться:

• в письменной форме по адресу: Республика Беларусь, г. Минск, ул. Левкова, д. 43, этаж 2, оф. 215;
• в электронной форме, направленной на адрес info@alendi.by, подписанной простой или электронной подписью.

Заявление субъекта о реализации прав, связанных с обработкой персональных данных, должно содержать:

• ФИО субъекта;
• описание сути требования (например, «отзыв согласия на обработку данных», «требование об уточнении»);
• предпочтительный способ получения ответа (по email, по почте, лично);
• документы, удостоверяющие личность (при необходимости).

Срок рассмотрения заявления составляет не более 15 рабочих дней со дня его поступления. В случаях, требующих дополнительной проверки, срок может быть продлён, о чём субъект уведомляется отдельно.

При удовлетворении требований Оператор обязан устранить нарушение — например, удалить данные, прекратить передачу или направить полную информацию. В случае отказа субъект получает мотивированный ответ с указанием статьи закона, на которую Оператор ссылается.

10. Меры по защите персональных данных

Оператор применяет комплекс технических, организационных и правовых мер, направленных на предотвращение несанкционированного доступа, утраты, изменения, распространения или иного неправомерного использования персональных данных. Система защиты строится на основе оценки актуальных рисков, с обязательным учётом категории обрабатываемых данных, объёма, числа задействованных лиц, форм и каналов передачи.

Среди технических мер защиты реализованы:

• разграничение прав доступа: только уполномоченные сотрудники имеют доступ к данным, в пределах необходимого функционала;
• аутентификация пользователей и контроль доступа;
• использование защищённых каналов связи (https, ssh) при передаче информации;
• резервное копирование и восстановление данных;
• аудит систем безопасности.

Организационные меры включают:

• внутренние локальные акты: положение о защите персональных данных, регламент доступа, порядок реагирования на инциденты;
• документальное оформление отношений с уполномоченными лицами, назначение ответственного лица за обработку персональных данных;
• обучение и инструктаж сотрудников;
• внедрение процедур контроля за обработкой персональных данных.

Все применяемые меры соответствуют требованиям статьи 18 Закона «О защите персональных данных» и могут быть уточнены субъекту по его запросу.

11. Реагирование на инциденты

В случае утечки, несанкционированного доступа или иного инцидента, повлекшего или способного повлечь нарушение прав субъектов, Оператор действует незамедлительно. В соответствии с внутренним регламентом:

• осуществляется локализация инцидента, чтобы предотвратить его дальнейшее развитие;
• проводится анализ последствий и причин;
• принимаются меры по восстановлению целостности и работоспособности систем;
• при необходимости, в том числе при угрозе существенного вреда субъектам, последние уведомляются персонально с описанием сути происшествия и возможных рисков;
• если характер инцидента подлежит обязательному уведомлению по закону — соответствующее сообщение направляется в Национальный центр защиты персональных данных.

Все действия фиксируются, документируются, и результаты служат основанием для корректировки внутренних процессов.

12. Cookie и сторонние сервисы

На сайте https://alendi.by используются cookie-файлы, которые представляют собой небольшие текстовые фрагменты, сохраняемые на устройстве пользователя. Они позволяют Оператору:

• анализировать действия пользователя на сайте (в том числе с помощью систем аналитики);
• сохранять предпочтения и сессии пользователя для ускорения взаимодействия;
• обеспечивать корректное отображение и функциональность сайта.

Применяются как технически необходимые cookie, без которых сайт не может функционировать, так и аналитические, функциональные и маркетинговые cookie — последние используются исключительно при наличии согласия пользователя.

Оператор также может использовать сторонние сервисы, такие как Google Analytics, Яндекс.Метрика, Telegram-боты, сервисы рассылок. При этом данные могут передаваться указанным сервисам в обезличенной или частично идентифицируемой форме. В случае использования таких платформ осуществляется предварительная правовая проверка, в том числе по части трансграничной передачи.

Пользователь может управлять cookie через настройки своего браузера и отозвать ранее данное согласие. Информация об этом предоставляется на специальной странице сайта или по запросу.

13. Ответственность и порядок разрешения споров

Оператор несёт ответственность за надлежащее соблюдение настоящей Политики, включая:

• незаконное или избыточное собирание данных;
• несанкционированный доступ к сведениям;
• нарушение сроков или целей обработки;
• несоблюдение порядка рассмотрения обращений субъектов.

Субъект, в свою очередь, обязан предоставлять достоверные и актуальные данные, не нарушать права третьих лиц (например, не указывать контактные данные иных лиц без их согласия) и своевременно уведомлять Оператора об изменениях.

Споры, связанные с обработкой персональных данных, подлежат разрешению в досудебном порядке — посредством направления претензии в адрес Оператора. Если урегулирование не достигнуто, спор передаётся в компетентный суд Республики Беларусь. Также субъект вправе обратиться в Национальный центр защиты персональных данных.

14. Видеонаблюдение

Видеонаблюдение осуществляется в соответствии с законодательством Республики Беларусь и Политикой видеонаблюдения, действующей у Оператора и размещенной в сети Интернет на Сайте Оператора по адресу: _____________.

Политикой видеонаблюдения устанавливается, в том числе, срок хранения видео материалов, порядок доступа к видео, порядок их удаления, права Субъектов персональных данных при осуществлении видеонаблюдения у Оператора.

Оператор осуществляет видеонаблюдение, в т.ч. с функцией в целях контроля доступа посетителей, обеспечения общественного порядка и безопасности на территории и в помещениях Оператора, охраны жизни и здоровья работников, клиентов/заказчиков Оператора, защиты имущества (материальных ценностей) Оператора, клиентов/заказчиков Оператора от причинения вреда (убытков) и предотвращения иных противоправных посягательств, с целью фиксации и предотвращения правонарушений и предоставления информации по запросам соответствующих служб и государственных органов в случаях, предусмотренных действующим законодательством, а также в иных целях, предусмотренных (не запрещенных) законодательством Республики Беларусь и Политикой видеонаблюдения.

В помещениях и на территории Оператора, где ведется видеонаблюдение, Субъекты персональных данных оповещаются о видеонаблюдении специальными информационными надписями и символами (знаками, табличками) установленного типа.

15. Заключительные положения

Настоящая Политика вступает в силу с момента её утверждения и действует до её отмены или замены новой редакцией. Обновления Политики публикуются на сайте Оператора, а в случае внесения изменений, затрагивающих существенные права субъектов (например, изменение целей обработки или состава передаваемых данных), уведомление размещается на главной странице сайта либо направляется адресно при наличии соответствующего канала связи.

Оператор оставляет за собой право уточнять положения настоящей Политики по мере развития правового регулирования, изменений в бизнес-процессах или используемых технологиях.

Актуальная версия всегда доступна по адресу:
https://alendi.by/privacy-policy

Приложение №1. Перечень уполномоченных лиц, обрабатывающих персональные данные от имени Частного унитарного предприятия «АлендиКомпани»

Оператор в рамках своей деятельности привлекает третьих лиц — уполномоченных обработчиков, с которыми заключены договоры, содержащие обязательства о конфиденциальности, защите персональных данных и запрете на их передачу иным лицам без согласия Оператора.