|
Политика ООО «Открытые Финансы» в области обработки и защиты персональных данных
УТВЕРЖДЕНО
приказом директора ООО «Открытые Финансы»
11.04.2024 года
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
Политика в области обработки и защиты персональных данных (далее – Политика) ООО «Открытые финансы» (далее – Оператор, Общество) разработана на основании требований Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» (далее – Закон) и иных актов законодательства, регламентирующих порядок обработки персональных данных.
Юридический адрес Оператора: г. Минск, пр-т Дзержинского, д.22, офис 356, кабинет 13 , адрес в сети Интернет: https://unicredit.by/
Информация об Операторе, его офисах размещена по адресу в сети Интернет: https://unicredit.by/
В Политике применяются термины и определения, в соответствии с терминами и определениям указанными в Законе.
Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Республики Беларусь. Если международным договором Республики Беларусь установлены иные правила, чем те, которые предусмотрены Законом, то Оператор применяет правила международного договора.
ГЛАВА 2
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.Оператор обрабатывает персональные данные в целях:
осуществления финансово-хозяйственной деятельности в соответствии с уставом Оператора;
осуществления мониторинга финансово-хозяйственной деятельности и проведения внутренних служебных проверок;
предоставления официальной информации о деятельности Оператора;
оказания услуг, предоставляемых Оператором, в соответствии с заключенными договорами;
идентификации клиента для оформления заказа на услугу Оператора; установления с обратной связи, обработка запросов и заявок от субъекта персональных данных;
улучшения качества обслуживания субъектов персональных данных при консультировании и оказании услуг Оператором;
качественного оказания консультаций по услугам Оператором, в том числе при заключении договоров на услуги Оператора;
ведения кадрового делопроизводства;
ведения воинского учета;
отбора кандидатов на рабочие места;
назначения и выплаты пособий;
предоставления социальных льгот и гарантий;
организации ведения персонифицированного учета;
заполнения и предоставления в уполномоченные органы и организации требуемых форм отчетности, в том числе статистической;
организации связи (взаимодействия) с субъектом персональных данных;
ведение учета фактически отработанного времени;
оплаты труда и мотивации персонала;
оформления служебных командировок;
информирования субъекта персональных данных Оператором о проводимых акциях и/или рекламных мероприятиях;
информирования субъекта персональных данных Оператором о проводимых партнерами Оператора (третьими лицами, с которыми у Оператора заключены соответствующие договоры) акциях и/или рекламных мероприятиях;
проведения Оператором опросов, исследований потребительских предпочтений;
рассмотрения обращений, в том числе внесённых в книгу замечаний и предложений;
осуществления служебных проверок.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ
Оператор осуществляет обработку персональных данных следующих категорий субъектов:
7.1. Работники и уволенные работники Оператора:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
паспортные данные или данные иного документа, удостоверяющего личность;
адрес регистрации по месту жительства;
адрес фактического проживания;
контактные данные;
учетный номер плательщика;
номер и серию страхового свидетельства государственного социального страхования;
сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
семейное положение;
сведения о составе семьи;
сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
сведения о регистрации брака;
сведения о воинском учете;
сведения об инвалидности;
сведения о социальных льготах и гарантиях;
сведения об удержании алиментов;
сведения о доходе с предыдущего места работы;
сведения медицинского характера (в случаях, предусмотренных законодательством);
специальные персональные данные;
цифровой фотопортрет;
фотопортрет на бумажном носителе;
видеоизображение при посещении объектов Оператора;
иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
7.2. Члены семей работников Оператора:
фамилия, имя, отчество;
степень родства;
дата и место рождения;
иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
7.3. Клиенты Оператора, их представители (в том числе представители юридических лиц и индивидуальных предпринимателей):
фамилия, имя, отчество;
пол;
дата и место рождения;
паспортные данные;
адрес регистрации по месту жительства;
контактные данные;
видеоизображение при посещении офисов Оператора;
учетный номер плательщика;
номер расчетного счета;
запись голоса при обращении на телефонный номер Общества либо при обзвонах клиентов Оператором;
иные персональные данные, предоставляемые клиентами необходимые для заключения и исполнения договоров.
7.4. Кандидаты на работу к Оператору:
фамилия, имя, отчество;
пол;
гражданство;
дата рождения;
населенный пункт проживания;
контактные данные;
данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
сведения о воинском учете;
сведения об инвалидности;
сведения медицинского характера (в случаях, предусмотренных законодательством);
сведения о социальных льготах и гарантиях;
сведения о награждениях и поощрениях;
видеоизображение при посещении объектов Оператора;
иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
7.5. Обучающиеся в учебных заведениях, проходящие учебную/производственную практику у Оператора:
фамилия, имя, отчество;
наименование учебного заведения;
специальность;
специализация;
номер курса;
контактные данные;
видеоизображение при посещении объектов Оператора.
7.6. Лица, обратившиеся на личный прием, в том числе на «горячую линию» Оператора:
фамилия, имя, отчество;
дата рождения;
адрес регистрации по месту жительства;
контактные данные;
запись голоса;
видеоизображение при посещении объектов Оператора.
8.Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (кроме требований, предусмотренных кадровым делопроизводством), интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.
ГЛАВА 4
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.Субъекты персональных данных, если иное не предусмотрено законодательством, имеют право:
9.1. принимать решение о предоставлении своих персональных данных Оператору;
9.2. вносить, дополнять или изменять обрабатываемые персональные данные (на основании предоставленных Оператору соответствующих документов и (или) их заверенные в установленном порядке копии);
9.3. требовать прекращения обработки его персональных данных и (или) их удаления;
9.4. отзывать согласие на обработку своих персональных данных;
9.5. получать информацию, касающуюся фактов подтверждения обработки его персональных данных Оператором;
9.6. получать информацию, об источниках получения персональных данных Оператором;
9.7. обжаловать действия, бездействия и решения Оператора, связанные с обработкой персональных данных в течении 3 месяцев со дня, когда субъекту персональных данных стало известно о нарушении его прав;
9.8. получать информацию об Операторе и месте его расположения;
9.9. получать информацию о правовых основаниях обработки Оператором персональных данных и сроках их хранения;
9.10. получать информацию о сроках, на которые дано согласие на обработку персональных данных (при условии, что такая обработка осуществляется на основании согласия).
9.11. Заявления о согласии клиентов на обработку персональных данных оформляются на бумажном носителе в офисах Оператора либо через сайт Оператора в электронном виде.
9.12. Заявление субъекта персональных данных должно содержать:
фамилию, имя, отчество (при наличии);
дату рождения;
адрес места жительства (места регистрации);
идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований;
личную подпись (на бумажном носителе) либо электронную цифровую подпись (для электронного документа).
10.Субъектом персональных данных право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании гражданско–правового договора, трудового договора, информации направленной Оператору самим субъектом персональных данных в целях осуществления административных процедур и т.д.
11.О нарушении работниками Оператора, перечисленных в данной главе прав, субъект персональных данных может проинформировать Оператора посредством электронной почты, направив информацию на электронный адрес – [email protected]
ГЛАВА 5
ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
12.В соответствии с требованиями законодательства Республики Беларусь Оператор обязуется:
ознакомить субъекта персональных данных с Политикой путем размещения в открытом доступе на официальном сайте Оператора;
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
по требованию субъекта персональных данных изменить, блокировать или удалить обрабатываемые персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, за исключением случаев, когда иной порядок установлен законодательством Республики Беларусь;
дать ответ на заявление субъекта персональных данных в течение 15 дней, предшествовавших дате подачи заявления, по отзыву согласия, внесению изменений в персональные данные, предоставлению персональных данных третьим лицам в течении предшествующего года и прекращению обработки персональных данных (их удалению);
дать ответ на заявление субъекта персональных данных в течение 5 дней после получения заявления о предоставлении информации, касающейся обработки его персональных данных, если иной срок не установлен законодательством Республики Беларусь;
рассмотреть и давать ответы на жалобы в порядке, установленном законодательством Республики Беларусь об обращениях граждан и юридических лиц;
получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательными актами;
в случае достижения цели обработки персональных данных прекратить обработку персональных данных и удалить, а в случае невозможности блокировать соответствующие персональные данные, если иное не предусмотрено законодательством Республики Беларусь;
по требованию субъекта персональных данных прекратить обработку персональных данных и удалить, а в случае невозможности блокировать персональные данные, если иное не предусмотрено в договоре между Оператором и субъектом персональных данных или в законодательстве Республики Беларусь;
учитывать переданные третьим лицам персональные данные субъектов персональных данных;
уведомлять Национальный центр защиты персональных данных (далее – Центр) о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 (трех) рабочих дней после того, как Оператору стало известно о таких нарушениях. Исключение составляют случаи, определяемые Центром;
исполнять требования актов реагирования государственных органов и организаций об устранении причин и условий, способствующих нарушениям законодательства о защите персональных данных.
13.Оператор при обработке персональных данных осуществляет действие или совокупность действий, включая: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
14.Оператор имеет право поручить обработку персональных данных третьему лицу на основании заключенных договорных отношений или в соответствии с законодательством Республики Беларусь.
15.Распространение персональных данных Оператор осуществляет только в соответствии с требованиями законодательства Республики Беларусь.
16.Оператор осуществляет разъяснения субъектам персональных данных по вопросам обработки и защиты персональных данных, обрабатываемых в информационных системах (ресурсах) и без средств автоматизации Оператора.
ГЛАВА 6
МЕРЫ ПО КОНТРОЛЮ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
17.При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению их защиты от неправомерного или случайного доступа, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
18.Обеспечение защиты персональных данных достигается посредством реализации следующих мероприятий:
определение угроз безопасности персональных данных при их обработке;
установление режима(-ов) обработки персональных данных;
применение технических средств защиты информации в информационных системах, задействованных для обработки персональных данных;
контроль за эффективностью принимаемых мер по обеспечению защиты персональных данных и уровнем защищенности информационных систем, обрабатывающих персональные данные.
19.За нарушение установленного законодательством Республики Беларусь порядка обработки персональных данных, их неправомерное разглашение или распространение виновные лица (работники Оператора,) несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.
ГЛАВА 7
УПОЛНОМОЧЕННЫЕ ЛИЦА, ОСУЩЕСТВЛЯЮЩИЕ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
20.В своей деятельности Оператор привлекает уполномоченных лиц. К таким лицам относятся физические лица, которые на основании договора с Оператором осуществляют обработку персональных данных от имени Оператора или в его интересах.
ПЕРЕЧЕНЬ обрабатываемых персональных данных Обществом