Политика в отношении обработки персональных данных
ПОЛИТИКА
в отношении обработки персональных данных
общества с ограниченной ответственностью
«Лаборатория Клиентского опыта»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разъясняет субъектам персональных данных цели, правовые основания, порядок обработки их персональных данных, а также имеющиеся у таких субъектов права и механизмы их реализации.
Организация уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.
Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее - Закон).
1.2. Контактные данные Организации:
Общество с ограниченной ответственностью «Лаборатория клиентского опыта»
УНП 193358470
почтовый адрес: 220103, Республика Беларусь, г. Минск, ул. Седых, 66, помещение 1, к. 22
адрес в сети Интернет - информационный ресурс (далее - Сайт): https://cx-lab.by/
email: shopik@cx-lab.by
телефон: +375 29 756 52 90
1.3. Политика не распространяется на обработку персональных данных:
- в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников);
- при обработке файлов cookie на Сайте и иных информационных ресурсах, принадлежащих Организации (см. Политику в отношении обработки файлов cookie).
1.4. Политика публикуется в открытом свободном доступе в глобальной компьютерной сети Интернет на Сайте. Политика может быть изменена Организацией в любое время в одностороннем порядке без предварительного уведомления субъектов персональных данных. Новая редакция Политики вступает в силу с момента ее утверждения. Политика, а также любые изменения и (или) дополнения к ней утверждаются директором Организации.
1.5. Настоящая политика действует в отношении всех персональных данных, которые Организация может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет, во время использования им сайтов, веб-сервисов и веб-платформ Организации, либо иных служб, программ, продуктов или услуг Организации.
1.6. В Политике используются следующие термины и определения:
- «Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- «Субъект персональных данных» - физическое лицо, носитель персональных данных, чьи персональные данные переданы Организации для обработки;
- «Трансграничная передача персональных данных» - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- «Доступ к персональным данным» - ознакомление определенных лиц (в том числе работников Организации) с персональными данными субъектов, обрабатываемыми Организацией, при условии сохранения конфиденциальности этих сведений;
- «Заказчик» - лицо, заключившее или имеющее намерение заключить с Организацией договор, предполагающий передачу персональных данных Заказчиком Организации и обработку Организацией таких персональных данных, либо получившее, получающее или имеющее намерение получить консультацию, информацию или иные сведения, входящие в компетенцию оказания услуг Организацией;
- «Представитель Заказчика» - работник Заказчика или иное физическое лицо, персональные данные которого переданы Заказчиком Организации для исполнения последним договора либо проведения консультации.
- «Клиент Заказчика» - физическое лицо, являющееся потенциальным, действующим либо бывшим клиентом Заказчика, либо иное физическое лицо, персональные данные которого обрабатывает Заказчик на законном основании.
- «Представитель Поставщика» - работник Поставщика или иное физическое лицо, персональные данные которого переданы Поставщиком Организации для исполнения договора Поставщиком в пользу Организации.
- «Представитель Партнера» - физическое лицо, заключившее с Организацией договор на оказание агентских услуг; услуг по привлечению, поиску и предоставлению информации о третьих лицах, потенциальных клиентах; услуг информационной и технической поддержки Клиентов Партнера по пользованию cервисами Партнера, запуску маркетинговых кампаний, настройке интеграций информационных систем, используемых Клиентами Партнера, с Cервисами Партнера.
- «Клиент Партнера» - физическое лицо, являющееся потенциальным, действующим либо бывшим клиентом Партнера, либо иное физическое лицо, персональные данные которого обрабатывает Партнер на законном основании.
- «Сервис» - программное обеспечение Партнера, исключительные права на которые принадлежат Партнеру.
- «Файлы Cookie» - текстовые файлы, которые браузер каждый раз пересылает серверу при попытке открыть страницу соответствующего сайта, используемые для аутентификации пользователя, хранения его персональных предпочтений и настроек, отслеживания состояния сессии доступа пользователя, ведения статистики о пользователях и т.п.
Иные используемые в тексте настоящей Политики термины и определения употребляются в значениях, определяемых Законом Республики Беларусь.
1.7. Персональные данные могут быть использованы Организацией в научных, статистических или иных исследовательских целях после обязательного обезличивания таких персональных данных, в частности, для:
- подготовки и публикации ежемесячных, ежеквартальных, ежегодных отчетов о своей деятельности;
- подготовки и осуществления публикаций и выступлений, связанных с осуществлением Организацией своей деятельности и исполнением ее работниками своих должностных обязанностей.
1.8. Организация осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.
ГЛАВА 2
ЦЕЛИ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЧЬИ ДАННЫЕ ПОДВЕРГАЮТСЯ ОБРАБОТКЕ
2.1. Организация осуществляет обработку персональных данных субъектов персональных данных в целях, объеме, на правовых основаниях и в сроки применительно к каждой категории субъектов персональных данных согласно приложению 1 к настоящей Политике.
2.2. Организация не осуществляет сбор персональных данных Клиентов Заказчика и не обязана получать согласия на обработку таких данных согласно заключаемым с Заказчиками договорам.
2.3. Обработка персональных данных Клиентов Заказчика осуществляется по поручению Заказчика. Цели обработки персональных данных определяются заключенными с Заказчиками договорами. В частности, в такие цели входит оказание услуг по договору: проведение маркетинговых кампаний, в том числе электронных рассылок, создание сегментов данных Клиентов, анализ данных Клиентов, маркетинговое сопровождение и т.п. Цели обработки персональных данных не могут противоречить Закону Республики Беларусь.
2.4. Обработка персональных данных Представителей Заказчика осуществляется с целью проведения консультаций, заключения, исполнения и расторжения договоров, в том числе оказания Организацией услуг Заказчику.
2.5. Обработка персональных данных Представителей Поставщиков осуществляется с целью выполнения работ, оказания услуг, поставки товара и иного исполнения договора в пользу Организации.
2.6. Обработка персональных данных Представителей Партнеров осуществляется с целью оказания услуг по агентским договорам и договорам о маркетинговом сотрудничестве.
2.7. Обработка персональных данных Пользователей Сайта может осуществляться в целях:
ГЛАВА 3
ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Содержание и объем персональных данных, обрабатываемых Организацией, по аждой категории субъектов определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Организации с учетом целей обработки персональных данных, указанных в главе 2 настоящей Политики, а также с учетом необходимостьи Организации реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
3.2. Перечень обрабатываемых персональных данных указан в приложении 1 к настоящей Политике. Обработка Организацией биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством.
3.3. Организация может обрабатывать следующие персональные данные в зависимости от категорий субъектов персональных данных и целей обработки:
3.4. Организация не осуществляет обработку специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, биометрических и генетических персональных данных (за исключением сведений о состоянии здоровья, привлечении к административной, уголовной ответственности работников, соискателей на трудоустройство, подрядчиков для обеспечения возможности допуска к работе, отстранения от работы).
3.5. В зависимости от конкретного случая или целей обработки, указанный перечень персональных данных может быть сокращен или расширен.
ГЛАВА 4
ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Правовыми основаниями обработки персональных данных Организацией являются:
- заключение и исполнение договора с субъектом персональных данных;
- согласие субъекта персональных данных;
- выполнение требований законодательства;
- обработка распространенных ранее персональных данных.
4.2. Сроки хранения Организацией персональных данных определяются законодательством. Если сроки обработки персональных данных не определены законодательством, Организация осуществляет хранение персональных данных не дольше, чем этого требуется для достижения целей обработки.
4.3. Более подробная информация о целях обработки, перечне обрабатываемых персональных данных, правовых основаниях обработки персональных данных и сроках их хранения указана в приложении 1 к настоящей Политике.
4.4. Если сроки обработки персональных данных не установлены законодательством или Политикой, Организация осуществляет их обработку, в том числе хранение, не дольше, чем этого требуют цели обработки персональных данных.
4.5. Организация прекращает обработку персональных данных и осуществляет их удаление, если (любой из случаев):
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования, посредством сбора, хранения, использования, систематизации, изменения, обезличивания, блокирования, предоставления, распространения, удаления персональных данных.
5.2. Организация осуществляет обработку персональных данных при:
5.3. Источниками получения персональных данных являются:
- субъекты персональных данных (например, Представители Поставщиков, Представители Партнеров или Представители Заказчиков);
- операторы или уполномоченные лица субъектов персональных данных (например, Заказчики, Партнеры);
- иные лица, на законном основании получившие персональные данные и в порядке, предусмотренном законодательством передающие их Организации.
5.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными актами законодательства, когда согласие субъекта не требуется.
5.5. При обработке персональных данных Организация может выступать в качестве оператора или уполномоченного лица.
- Организация выступает в качестве оператора - при поиске потенциальных Заказчиков, проведении консультаций, предоставлении информации, оказании агентских услуг, услуг технической настройки и разработки, разработке маркетинговых планов, концепций, программ и т.п. Партнерам, Заказчикам, а также при заключении договоров с Поставщиками.
- Организация выступает в качестве уполномоченного лица - при проведении по поручению и от имени Партнера или Заказчика консультаций, рассылок, опросов, предоставлении информации, оказании услуг по работе с базами данных клиентов Партнера или Заказчика, содержащих их персональные данные, проведении по поручению и от имени Партнера или Заказчика иных маркетинговых активностей и т.п.
5.6. Организация вправе поручить или перепоручить обработку персональных данных от имени Организации или в ее интересах уполномоченному лицу на основании заключаемого с этим лицом договора:
5.6.1. операторам электросвязи, операторам сервисов обмена электронными сообщениями для осуществления отправки рекламно-информационных сообщений посредством sms, viber и email, а также отправки соответствующей информации для реализации возможности субъекта персональных данных участвовать в программах лояльности, иных рекламных мероприятиях;
5.6.2. индивидуальным предпринимателям, организациям почтовой связи, иных служб, оказывающих почтовые и курьерские услуги;
5.6.3. индивидуальным предпринимателям, организациям для оказания информационно-технической поддержки информационных ресурсов (систем) Организации;
5.6.4. индивидуальным предпринимателям, организациям для оказания услуг по настройке программного обеспечения, обработки вызовов и иной информации;
5.6.5. индивидуальным предпринимателям, организациям для оказания услуг программного обеспечения, хостинга и облачного хранилища;
5.6.6. индивидуальным предпринимателям, организациям для сбора информации о запросах на консультации через формы обратной связи;
5.6.7. индивидуальным предпринимателям, организациям для осуществления бухгалтерского, финансового, налогового учета;
5.6.8. иным организациям
5.7. Обработка распространенных ранее персональных данных осуществляется Организацией при поиске и рассмотрении резюме соискателей на трудоустройство, размещенных на соответствующих информационных ресурсах (например, rabota.by и т.п.)
5.8. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
5.9. Согласие субъекта персональных данных может быть получено Организацией в письменной форме, в виде электронного документа или в иной электронной форме. В иной электронной форме Организация получает согласие субъекта персональных данных посредством проставления субъектом персональных данных соответствующей отметки на Сайте.
5.10. До получения согласия субъекта персональных данных Организация обязана при необходимости простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.
ГЛАВА 6
УПОЛНОМОЧЕННЫЕ ЛИЦА. ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В КАЧЕСТВЕ УПОЛНОМОЧЕННОГО ЛИЦА.
6.1. Организация вправе поручить обработку персональных данных от имени Организации или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
6.2. Организация поручает обработку персональных данных уполномоченным лицам, оказывающим услуги по:
6.2.1. ведению бухгалтерского, финансового, налогового учета Организации:
ЧУП «Промкомпания Консалт». 220033, г. Минск, пр-т Партизанский, д. 31, офис 12
6.2.2. направлению специальных предложений, акций, скидок и иных рекламных рассылок:
SendPulse Inc. 220 E 23rd St #401, New York, NY 10010
6.2.3. оказанию курьерских и почтовых услуг:
ЧУП «Сапсан Экспресс». РБ, 220024, г. Минск, ул. Пирогова, д.5, пом.103
6.2.4. размещению и конструированию Сайта Организации:
ООО «Надежные программы». 220006, г. Минск, ул. Аранская, 8, блок 1, 4 этаж
ООО «Тильда Паблишинг Бел». РБ, г. Барановичи, ул. Ленина, д. 71, оф. 307
6.2.5. осуществлению фотосъемки (уполномоченные лица определяются в отношении конкретных мероприятий).
6.3. С уполномоченными лицами заключаются соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона в целях обеспечения защиты персональных данных на уровне, не ниже чем у Организации.
6.4. Организация периодически осуществляет контроль за выполнением уполномоченными лицами мер по обеспечению защиты персональных данных, обрабатываемых по поручению Организации.
6.5. Организация осуществляет трансграничную передачу персональных данных для обеспечения непрерывной коммуникации с пользователями социальных сетей и мессенджеров (видеохостинг YouTube, сервис Google Analytics, сервис электронной почты Gmail).
Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Организацией, если:
6.5.1. на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определенный приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 «О трансграничной передаче персональных данных» - без ограничений при наличии правовых оснований, предусмотренных Законом;
6.5.2. на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных - в случаях, предусмотренных статьей 9 Закона, в том числе:
6.6. Поскольку Организация может осуществлять трансграничную передачу персональных данных на территорию государств, которые в соответствии с законодательством Республики Беларусь не обеспечивают надлежащий уровень защиты прав субъектов персональных данных, информируем о рисках, возникающих в связи с отсутствием такого уровня защиты:
- отсутствие (фрагментарность) законодательства о персональных данных;
- отсутствие (ограниченность) прав субъектов персональных данных, обязанности оператора отвечать на запросы субъекта персональных данных;
- отсутствие уполномоченного органа по защите прав субъектов персональных данных;
- отсутствие (ограничение) мер ответственности за нарушения прав субъектов персональных данных;
- риск широкого доступа к персональным данным правоохранительных органов различных стран;
- риск использования незаконных способов доступа к персональным данным и их незаконного использования.
6.7. Организация может осуществлять обработку персональных данных третьих лиц по поручению и в интересах Партнеров или Заказчиков на основании заключаемых с этими лицами договоров. Цели, объем, правовые основания и сроки обработки предоставляемых Заказчиками, Партнерами персональных данных указываются в соответствующих договорах, соглашениях и иных документах заключаемых между Организацией и указанными субъектами хозяйствования и учитывают требования законодательства.
6.8. Организация при обработке персональных данных третьих лиц по поручению и в интересах Партнеров или Заказчиков обеспечивает защиту персональных данных на уровне, не ниже чем у Организации.
ГЛАВА 7
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право:
7.1.1. в течение 15 рабочих дней после получения соответствующего запроса - на отзыв своего согласия, если для обработки персональных данных Организация обращалась к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства или на основании договора).
7.1.2. в течение 15 рабочих дней после получения соответствующего запроса - на требование от Организации бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. При отсутствии технической возможности удаления персональных данных - на принятие мер по исключению их дальнейшей обработки. Организация вправе отказать субъекту в прекращении обработки персональных данных и (или) их удалении при наличии у нее правовых оснований для обработки (например, в соответствии с требованиями законодательства или на основании договора).
7.1.3. в течение 5 рабочих дней после получения соответствующего запроса - на получение информации, касающейся обработки своих персональных данных, содержащей:
- место нахождения Организации;
- подтверждение факта обработки персональных данных обратившегося лица Организацией;
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
- наименование и место нахождения уполномоченного лица (уполномоченных лиц);
- иную информацию, предусмотренную законодательством;
7.1.4. в течение 15 рабочих дней после получения соответствующего запроса - на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных вместе с заявлением прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
7.1.5. в течение 5 рабочих дней после получения соответствующего запроса - на получение от Организации информации о предоставлении своих персональных данных, обрабатываемых Организацией, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
7.1.6 на обжалование действий (бездействия) и решений Организации, нарушающих его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
7.2. Для реализации своих прав, связанных с обработкой персональных данных Организацией, субъект персональных данных может:
- подать в Организацию заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия - также в форме, в которой такое согласие было получено) по почтовому адресу Организации или на адрес электронной почты shopik@cx-lab.by. Такое заявление должно содержать:
Организация не рассматривает заявления субъектов персональных данных, направленные иными способами (телефон, факс и т.п).
7.3 За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Организации, направив сообщение на электронный адрес: shopik@cx-lab.by.
ГЛАВА 8
ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
8.1. Организация осуществляет работу с персональными данными в объеме и порядке, установленном законодательством Республики Беларусь.
8.2. Организация вправе:
8.2.1. устанавливать правила обработки персональных данных в Организации, вносить изменения и дополнения в Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Организации;
8.2.2. получать от субъекта персональных данных достоверную информацию и (или) документы, содержащие персональные данные;
8.2.3. запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
8.2.4. отказать субъекту персональных данных в прекращении обработки его персональных данных и (или) их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь.
8.2.5. осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных.
8.3. Организация обязана:
8.3.1. обрабатывать персональные данные в соответствии с законодательством Республики Беларусь;
8.3.2. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
8.3.3. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
8.3.4. обеспечивать защиту персональных данных в процессе их обработки;
8.3.5. представлять субъекту персональных данных необходимую информацию до получения его согласия на обработку персональных данных;
8.3.6. рассматривать заявления субъектов персональных данных по вопросам обработки их персональных данных и в установленные сроки давать на них мотивированные ответы, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
8.3.7. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
8.3.8. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами;
8.3.9. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как Организации стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
8.3.10. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
8.3.11. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
8.3.12. исполнять иные обязанности, предусмотренные Законом о персональных данных и иными законодательными актами.
ГЛАВА 9
МЕРЫ, ПРИНИМАЕМЫЕ ОРГАНИЗАЦИЕЙ В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
9.1. Защита персональных данных, обрабатываемых Организацией, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
9.2. Правовые меры включают в себя:
- разработку локальных актов Организации, реализующих требования законодательства, в том числе Политики, и размещение ее на Сайте.
- отказ от обработки персональных данных, если это не соответствует целям обработки Организации.
9.3. Организационные меры включают в себя:
- назначение лица, ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных в информационных системах.
регламентацию процессов обработки персональных данных.
- осуществление учета лиц, получивших доступ к персональным данным и (или) лиц, которым предоставлена или передана такая информация.
- ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки.
- ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, настоящей Политикой и иными локальными актами.
9.4. Технические меры включают в себя:
- обеспечение физической безопасности помещений и средств обработки персональных данных, пропускной режим.
- применение средств обеспечения безопасности (например, антивирусных средств).
- резервное копирование информации для возможности восстановления (например, договоров).
- периодическое проведение мониторинга действий пользователей, расследование инцидентов в случае нарушения правил обработки и защиты персональных данных.
- контроль за выполнением соответствующих требований.
в отношении обработки персональных данных
общества с ограниченной ответственностью
«Лаборатория Клиентского опыта»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разъясняет субъектам персональных данных цели, правовые основания, порядок обработки их персональных данных, а также имеющиеся у таких субъектов права и механизмы их реализации.
Организация уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.
Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее - Закон).
1.2. Контактные данные Организации:
Общество с ограниченной ответственностью «Лаборатория клиентского опыта»
УНП 193358470
почтовый адрес: 220103, Республика Беларусь, г. Минск, ул. Седых, 66, помещение 1, к. 22
адрес в сети Интернет - информационный ресурс (далее - Сайт): https://cx-lab.by/
email: shopik@cx-lab.by
телефон: +375 29 756 52 90
1.3. Политика не распространяется на обработку персональных данных:
- в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников);
- при обработке файлов cookie на Сайте и иных информационных ресурсах, принадлежащих Организации (см. Политику в отношении обработки файлов cookie).
1.4. Политика публикуется в открытом свободном доступе в глобальной компьютерной сети Интернет на Сайте. Политика может быть изменена Организацией в любое время в одностороннем порядке без предварительного уведомления субъектов персональных данных. Новая редакция Политики вступает в силу с момента ее утверждения. Политика, а также любые изменения и (или) дополнения к ней утверждаются директором Организации.
1.5. Настоящая политика действует в отношении всех персональных данных, которые Организация может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет, во время использования им сайтов, веб-сервисов и веб-платформ Организации, либо иных служб, программ, продуктов или услуг Организации.
1.6. В Политике используются следующие термины и определения:
- «Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- «Субъект персональных данных» - физическое лицо, носитель персональных данных, чьи персональные данные переданы Организации для обработки;
- «Трансграничная передача персональных данных» - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- «Доступ к персональным данным» - ознакомление определенных лиц (в том числе работников Организации) с персональными данными субъектов, обрабатываемыми Организацией, при условии сохранения конфиденциальности этих сведений;
- «Заказчик» - лицо, заключившее или имеющее намерение заключить с Организацией договор, предполагающий передачу персональных данных Заказчиком Организации и обработку Организацией таких персональных данных, либо получившее, получающее или имеющее намерение получить консультацию, информацию или иные сведения, входящие в компетенцию оказания услуг Организацией;
- «Представитель Заказчика» - работник Заказчика или иное физическое лицо, персональные данные которого переданы Заказчиком Организации для исполнения последним договора либо проведения консультации.
- «Клиент Заказчика» - физическое лицо, являющееся потенциальным, действующим либо бывшим клиентом Заказчика, либо иное физическое лицо, персональные данные которого обрабатывает Заказчик на законном основании.
- «Представитель Поставщика» - работник Поставщика или иное физическое лицо, персональные данные которого переданы Поставщиком Организации для исполнения договора Поставщиком в пользу Организации.
- «Представитель Партнера» - физическое лицо, заключившее с Организацией договор на оказание агентских услуг; услуг по привлечению, поиску и предоставлению информации о третьих лицах, потенциальных клиентах; услуг информационной и технической поддержки Клиентов Партнера по пользованию cервисами Партнера, запуску маркетинговых кампаний, настройке интеграций информационных систем, используемых Клиентами Партнера, с Cервисами Партнера.
- «Клиент Партнера» - физическое лицо, являющееся потенциальным, действующим либо бывшим клиентом Партнера, либо иное физическое лицо, персональные данные которого обрабатывает Партнер на законном основании.
- «Сервис» - программное обеспечение Партнера, исключительные права на которые принадлежат Партнеру.
- «Файлы Cookie» - текстовые файлы, которые браузер каждый раз пересылает серверу при попытке открыть страницу соответствующего сайта, используемые для аутентификации пользователя, хранения его персональных предпочтений и настроек, отслеживания состояния сессии доступа пользователя, ведения статистики о пользователях и т.п.
Иные используемые в тексте настоящей Политики термины и определения употребляются в значениях, определяемых Законом Республики Беларусь.
1.7. Персональные данные могут быть использованы Организацией в научных, статистических или иных исследовательских целях после обязательного обезличивания таких персональных данных, в частности, для:
- подготовки и публикации ежемесячных, ежеквартальных, ежегодных отчетов о своей деятельности;
- подготовки и осуществления публикаций и выступлений, связанных с осуществлением Организацией своей деятельности и исполнением ее работниками своих должностных обязанностей.
1.8. Организация осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.
ГЛАВА 2
ЦЕЛИ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЧЬИ ДАННЫЕ ПОДВЕРГАЮТСЯ ОБРАБОТКЕ
2.1. Организация осуществляет обработку персональных данных субъектов персональных данных в целях, объеме, на правовых основаниях и в сроки применительно к каждой категории субъектов персональных данных согласно приложению 1 к настоящей Политике.
2.2. Организация не осуществляет сбор персональных данных Клиентов Заказчика и не обязана получать согласия на обработку таких данных согласно заключаемым с Заказчиками договорам.
2.3. Обработка персональных данных Клиентов Заказчика осуществляется по поручению Заказчика. Цели обработки персональных данных определяются заключенными с Заказчиками договорами. В частности, в такие цели входит оказание услуг по договору: проведение маркетинговых кампаний, в том числе электронных рассылок, создание сегментов данных Клиентов, анализ данных Клиентов, маркетинговое сопровождение и т.п. Цели обработки персональных данных не могут противоречить Закону Республики Беларусь.
2.4. Обработка персональных данных Представителей Заказчика осуществляется с целью проведения консультаций, заключения, исполнения и расторжения договоров, в том числе оказания Организацией услуг Заказчику.
2.5. Обработка персональных данных Представителей Поставщиков осуществляется с целью выполнения работ, оказания услуг, поставки товара и иного исполнения договора в пользу Организации.
2.6. Обработка персональных данных Представителей Партнеров осуществляется с целью оказания услуг по агентским договорам и договорам о маркетинговом сотрудничестве.
2.7. Обработка персональных данных Пользователей Сайта может осуществляться в целях:
- адресации рекламных и информационных материалов имеющимся и потенциальным Заказчикам и Представителям Заказчиков, Партнерам и Представителям Партнеров, Поставщикам и Представителям Поставщиков, Клиентам Партнеров;
- оценки эффективности выпускаемых рекламных материалов и их адаптации для посетителей Сайта;
- совершенствования и оптимизации сайта, в т.ч. в целях адаптации отображения материалов сайта под устройства пользователей.
ГЛАВА 3
ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Содержание и объем персональных данных, обрабатываемых Организацией, по аждой категории субъектов определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Организации с учетом целей обработки персональных данных, указанных в главе 2 настоящей Политики, а также с учетом необходимостьи Организации реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
3.2. Перечень обрабатываемых персональных данных указан в приложении 1 к настоящей Политике. Обработка Организацией биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством.
3.3. Организация может обрабатывать следующие персональные данные в зависимости от категорий субъектов персональных данных и целей обработки:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- данные паспорта или иного документа, удостоверяющего личность;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- место работы, занимаемая должность (специальность, профессия);
- контактные данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
- данные, которые автоматически передаются устройством субъекта персональных данных, с помощью которого используются веб-ресурсы Организации, в том числе технические характеристики устройства, IP-адрес, информация, сохраненная в файлах «cookies», которые были отправлены на устройства, информация о браузере, дата и время доступа к веб-ресурсам, адреса запрашиваемых страниц, данные о местоположении в случае, если субъект персональных данных сообщил свои координаты, логин и пароль, иная подобная информация;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации, трудовой деятельности, семейном положении и родственных связях, данные о регистрации брака, сведения о воинском учете, об инвалидности, об удержании алиментов, иные персональные данные, предоставляемые работниками и бывшими работниками в соответствии с требованиями трудового законодательства, иные персональные данные, предоставляемые и сообщаемые кандидатами в резюме и сопроводительных письмах, работниками в соответствии с требованиями трудового законодательства;
- иные персональные данные, необходимые для заключения, изменения, исполнения и прекращения договоров.
3.4. Организация не осуществляет обработку специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, биометрических и генетических персональных данных (за исключением сведений о состоянии здоровья, привлечении к административной, уголовной ответственности работников, соискателей на трудоустройство, подрядчиков для обеспечения возможности допуска к работе, отстранения от работы).
3.5. В зависимости от конкретного случая или целей обработки, указанный перечень персональных данных может быть сокращен или расширен.
ГЛАВА 4
ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Правовыми основаниями обработки персональных данных Организацией являются:
- заключение и исполнение договора с субъектом персональных данных;
- согласие субъекта персональных данных;
- выполнение требований законодательства;
- обработка распространенных ранее персональных данных.
4.2. Сроки хранения Организацией персональных данных определяются законодательством. Если сроки обработки персональных данных не определены законодательством, Организация осуществляет хранение персональных данных не дольше, чем этого требуется для достижения целей обработки.
4.3. Более подробная информация о целях обработки, перечне обрабатываемых персональных данных, правовых основаниях обработки персональных данных и сроках их хранения указана в приложении 1 к настоящей Политике.
4.4. Если сроки обработки персональных данных не установлены законодательством или Политикой, Организация осуществляет их обработку, в том числе хранение, не дольше, чем этого требуют цели обработки персональных данных.
4.5. Организация прекращает обработку персональных данных и осуществляет их удаление, если (любой из случаев):
- достигнута цель их обработки либо миновала необходимость в достижении цели их обработки, если иное не предусмотрено законодательством или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- истек срок действия согласия субъекта персональных данных или такой субъект отозвал свое согласие на обработку его персональных данных и у Организации нет иных предусмотренных законодательством оснований для обработки его персональных данных;
- обнаружена неправомерная обработка персональных данных;
- Организация прекратила свою деятельность.
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования, посредством сбора, хранения, использования, систематизации, изменения, обезличивания, блокирования, предоставления, распространения, удаления персональных данных.
5.2. Организация осуществляет обработку персональных данных при:
- получении персональных данных пользователей (посетителей) сайтов;
- получении персональных данных лиц, претендующих на трудоустройство;
- заключении, исполнении и расторжении договоров, соглашений и иных документов;
- рассылках приглашений, информации о мероприятиях, иных маркетинговых активностях;
- направлении специальных предложений, акций, скидок и иных рекламных рассылок;
- поиске потенциальных Заказчиков, поиске потенциальных Клиентов Партнеров;
- иных бизнес-процессах, связанных с использованием персональных данных.
5.3. Источниками получения персональных данных являются:
- субъекты персональных данных (например, Представители Поставщиков, Представители Партнеров или Представители Заказчиков);
- операторы или уполномоченные лица субъектов персональных данных (например, Заказчики, Партнеры);
- иные лица, на законном основании получившие персональные данные и в порядке, предусмотренном законодательством передающие их Организации.
5.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными актами законодательства, когда согласие субъекта не требуется.
5.5. При обработке персональных данных Организация может выступать в качестве оператора или уполномоченного лица.
- Организация выступает в качестве оператора - при поиске потенциальных Заказчиков, проведении консультаций, предоставлении информации, оказании агентских услуг, услуг технической настройки и разработки, разработке маркетинговых планов, концепций, программ и т.п. Партнерам, Заказчикам, а также при заключении договоров с Поставщиками.
- Организация выступает в качестве уполномоченного лица - при проведении по поручению и от имени Партнера или Заказчика консультаций, рассылок, опросов, предоставлении информации, оказании услуг по работе с базами данных клиентов Партнера или Заказчика, содержащих их персональные данные, проведении по поручению и от имени Партнера или Заказчика иных маркетинговых активностей и т.п.
5.6. Организация вправе поручить или перепоручить обработку персональных данных от имени Организации или в ее интересах уполномоченному лицу на основании заключаемого с этим лицом договора:
5.6.1. операторам электросвязи, операторам сервисов обмена электронными сообщениями для осуществления отправки рекламно-информационных сообщений посредством sms, viber и email, а также отправки соответствующей информации для реализации возможности субъекта персональных данных участвовать в программах лояльности, иных рекламных мероприятиях;
5.6.2. индивидуальным предпринимателям, организациям почтовой связи, иных служб, оказывающих почтовые и курьерские услуги;
5.6.3. индивидуальным предпринимателям, организациям для оказания информационно-технической поддержки информационных ресурсов (систем) Организации;
5.6.4. индивидуальным предпринимателям, организациям для оказания услуг по настройке программного обеспечения, обработки вызовов и иной информации;
5.6.5. индивидуальным предпринимателям, организациям для оказания услуг программного обеспечения, хостинга и облачного хранилища;
5.6.6. индивидуальным предпринимателям, организациям для сбора информации о запросах на консультации через формы обратной связи;
5.6.7. индивидуальным предпринимателям, организациям для осуществления бухгалтерского, финансового, налогового учета;
5.6.8. иным организациям
5.7. Обработка распространенных ранее персональных данных осуществляется Организацией при поиске и рассмотрении резюме соискателей на трудоустройство, размещенных на соответствующих информационных ресурсах (например, rabota.by и т.п.)
5.8. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
5.9. Согласие субъекта персональных данных может быть получено Организацией в письменной форме, в виде электронного документа или в иной электронной форме. В иной электронной форме Организация получает согласие субъекта персональных данных посредством проставления субъектом персональных данных соответствующей отметки на Сайте.
5.10. До получения согласия субъекта персональных данных Организация обязана при необходимости простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.
ГЛАВА 6
УПОЛНОМОЧЕННЫЕ ЛИЦА. ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В КАЧЕСТВЕ УПОЛНОМОЧЕННОГО ЛИЦА.
6.1. Организация вправе поручить обработку персональных данных от имени Организации или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
6.2. Организация поручает обработку персональных данных уполномоченным лицам, оказывающим услуги по:
6.2.1. ведению бухгалтерского, финансового, налогового учета Организации:
ЧУП «Промкомпания Консалт». 220033, г. Минск, пр-т Партизанский, д. 31, офис 12
6.2.2. направлению специальных предложений, акций, скидок и иных рекламных рассылок:
SendPulse Inc. 220 E 23rd St #401, New York, NY 10010
6.2.3. оказанию курьерских и почтовых услуг:
ЧУП «Сапсан Экспресс». РБ, 220024, г. Минск, ул. Пирогова, д.5, пом.103
6.2.4. размещению и конструированию Сайта Организации:
ООО «Надежные программы». 220006, г. Минск, ул. Аранская, 8, блок 1, 4 этаж
ООО «Тильда Паблишинг Бел». РБ, г. Барановичи, ул. Ленина, д. 71, оф. 307
6.2.5. осуществлению фотосъемки (уполномоченные лица определяются в отношении конкретных мероприятий).
6.3. С уполномоченными лицами заключаются соглашения об обработке персональных данных в соответствии с требованиями статьи 7 Закона в целях обеспечения защиты персональных данных на уровне, не ниже чем у Организации.
6.4. Организация периодически осуществляет контроль за выполнением уполномоченными лицами мер по обеспечению защиты персональных данных, обрабатываемых по поручению Организации.
6.5. Организация осуществляет трансграничную передачу персональных данных для обеспечения непрерывной коммуникации с пользователями социальных сетей и мессенджеров (видеохостинг YouTube, сервис Google Analytics, сервис электронной почты Gmail).
Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Организацией, если:
6.5.1. на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определенный приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 «О трансграничной передаче персональных данных» - без ограничений при наличии правовых оснований, предусмотренных Законом;
6.5.2. на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных - в случаях, предусмотренных статьей 9 Закона, в том числе:
- когда дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- при размещении информации о своей деятельности в глобальной компьютерной сети Интернет;
- когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
6.6. Поскольку Организация может осуществлять трансграничную передачу персональных данных на территорию государств, которые в соответствии с законодательством Республики Беларусь не обеспечивают надлежащий уровень защиты прав субъектов персональных данных, информируем о рисках, возникающих в связи с отсутствием такого уровня защиты:
- отсутствие (фрагментарность) законодательства о персональных данных;
- отсутствие (ограниченность) прав субъектов персональных данных, обязанности оператора отвечать на запросы субъекта персональных данных;
- отсутствие уполномоченного органа по защите прав субъектов персональных данных;
- отсутствие (ограничение) мер ответственности за нарушения прав субъектов персональных данных;
- риск широкого доступа к персональным данным правоохранительных органов различных стран;
- риск использования незаконных способов доступа к персональным данным и их незаконного использования.
6.7. Организация может осуществлять обработку персональных данных третьих лиц по поручению и в интересах Партнеров или Заказчиков на основании заключаемых с этими лицами договоров. Цели, объем, правовые основания и сроки обработки предоставляемых Заказчиками, Партнерами персональных данных указываются в соответствующих договорах, соглашениях и иных документах заключаемых между Организацией и указанными субъектами хозяйствования и учитывают требования законодательства.
6.8. Организация при обработке персональных данных третьих лиц по поручению и в интересах Партнеров или Заказчиков обеспечивает защиту персональных данных на уровне, не ниже чем у Организации.
ГЛАВА 7
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право:
7.1.1. в течение 15 рабочих дней после получения соответствующего запроса - на отзыв своего согласия, если для обработки персональных данных Организация обращалась к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства или на основании договора).
7.1.2. в течение 15 рабочих дней после получения соответствующего запроса - на требование от Организации бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. При отсутствии технической возможности удаления персональных данных - на принятие мер по исключению их дальнейшей обработки. Организация вправе отказать субъекту в прекращении обработки персональных данных и (или) их удалении при наличии у нее правовых оснований для обработки (например, в соответствии с требованиями законодательства или на основании договора).
7.1.3. в течение 5 рабочих дней после получения соответствующего запроса - на получение информации, касающейся обработки своих персональных данных, содержащей:
- место нахождения Организации;
- подтверждение факта обработки персональных данных обратившегося лица Организацией;
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
- наименование и место нахождения уполномоченного лица (уполномоченных лиц);
- иную информацию, предусмотренную законодательством;
7.1.4. в течение 15 рабочих дней после получения соответствующего запроса - на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных вместе с заявлением прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
7.1.5. в течение 5 рабочих дней после получения соответствующего запроса - на получение от Организации информации о предоставлении своих персональных данных, обрабатываемых Организацией, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
7.1.6 на обжалование действий (бездействия) и решений Организации, нарушающих его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
7.2. Для реализации своих прав, связанных с обработкой персональных данных Организацией, субъект персональных данных может:
- подать в Организацию заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия - также в форме, в которой такое согласие было получено) по почтовому адресу Организации или на адрес электронной почты shopik@cx-lab.by. Такое заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных
- адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- идентификационный номер субъекта персональных данных, а при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
Организация не рассматривает заявления субъектов персональных данных, направленные иными способами (телефон, факс и т.п).
7.3 За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Организации, направив сообщение на электронный адрес: shopik@cx-lab.by.
ГЛАВА 8
ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
8.1. Организация осуществляет работу с персональными данными в объеме и порядке, установленном законодательством Республики Беларусь.
8.2. Организация вправе:
8.2.1. устанавливать правила обработки персональных данных в Организации, вносить изменения и дополнения в Политику, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Организации;
8.2.2. получать от субъекта персональных данных достоверную информацию и (или) документы, содержащие персональные данные;
8.2.3. запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
8.2.4. отказать субъекту персональных данных в прекращении обработки его персональных данных и (или) их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь.
8.2.5. осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных.
8.3. Организация обязана:
8.3.1. обрабатывать персональные данные в соответствии с законодательством Республики Беларусь;
8.3.2. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
8.3.3. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
8.3.4. обеспечивать защиту персональных данных в процессе их обработки;
8.3.5. представлять субъекту персональных данных необходимую информацию до получения его согласия на обработку персональных данных;
8.3.6. рассматривать заявления субъектов персональных данных по вопросам обработки их персональных данных и в установленные сроки давать на них мотивированные ответы, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
8.3.7. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
8.3.8. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами;
8.3.9. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как Организации стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
8.3.10. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
8.3.11. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
8.3.12. исполнять иные обязанности, предусмотренные Законом о персональных данных и иными законодательными актами.
ГЛАВА 9
МЕРЫ, ПРИНИМАЕМЫЕ ОРГАНИЗАЦИЕЙ В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
9.1. Защита персональных данных, обрабатываемых Организацией, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
9.2. Правовые меры включают в себя:
- разработку локальных актов Организации, реализующих требования законодательства, в том числе Политики, и размещение ее на Сайте.
- отказ от обработки персональных данных, если это не соответствует целям обработки Организации.
9.3. Организационные меры включают в себя:
- назначение лица, ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных в информационных системах.
регламентацию процессов обработки персональных данных.
- осуществление учета лиц, получивших доступ к персональным данным и (или) лиц, которым предоставлена или передана такая информация.
- ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки.
- ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, настоящей Политикой и иными локальными актами.
9.4. Технические меры включают в себя:
- обеспечение физической безопасности помещений и средств обработки персональных данных, пропускной режим.
- применение средств обеспечения безопасности (например, антивирусных средств).
- резервное копирование информации для возможности восстановления (например, договоров).
- периодическое проведение мониторинга действий пользователей, расследование инцидентов в случае нарушения правил обработки и защиты персональных данных.
- контроль за выполнением соответствующих требований.
УТВЕРЖДЕНО
Приказ директора
ООО «Лаборатория Клиентского опыта»
от 20.06.2025 № 1
Приказ директора
ООО «Лаборатория Клиентского опыта»
от 20.06.2025 № 1
Приложение 1
к Политике
в отношении обработки персональных данных
ООО «Лаборатория Клиентского опыта»
к Политике
в отношении обработки персональных данных
ООО «Лаборатория Клиентского опыта»