по состоянию на 13 января 2024 г.
1.1 Настоящая Политика в отношении обработки персональных данных (далее – Политика) подготовлена во исполнение требований Закона Республики Беларусь от 7 мая 2021 г. № 99-3 “О защите персональных данных” (далее – Закон) в целях надлежащей защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных и определяет порядок обработки персональных данных Иностранным производственным унитарным предприятием «АйБиЭй АйТи Парк» (далее – Предприятие, Оператор), а также меры по обеспечению защиты и безопасности персональных данных, принимаемые Оператором.
1.2 Политика действует в отношении всех процессов обработки персональных данных, получаемых Предприятием о субъекте персональных данных, и структурных подразделений, которые обрабатывают персональные данные.
1.3 Политика не применяется к обработке персональных данных в процессе трудовой деятельности в отношении кандидатов на трудоустройство, работников и бывших работников.
1.4 Передавая Оператору персональные данные, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
1.5 Актуальная редакция Политики размещена в свободном доступе в информационной системе Предприятия по адресу: https://ibaitpark.com/.
1.6 Почтовый адрес Иностранного производственного унитарного предприятия «АйБиЭй АйТи Парк»: 220084, г. Минск, ул. Программистов, д. 3, офис № 41; email: dpo@ibagroup.eu.
2.1 В настоящей Политике используются следующие основные термины и их определения:
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
сервисы – любые сервисы, продукты, программы, мероприятия, услуги Предприятия;
специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
2.2 Иные термины и их определения, употребляющиеся в настоящей Политике, используются в значениях, определенных законодательством.
3.1 Обработка персональных данных осуществляется на основе следующих принципов:
осуществляется с согласия субъекта персональных данных, за исключением случаев, установленных законодательством. Субъект персональных данных дает согласие на обработку персональных данных на определенный срок, если иное не предусмотрено законодательством;
ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям обработки;
должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.
3.2 Предприятие не осуществляет передачу персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством.
3.3 Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
Целями обработки Предприятием персональных данных являются:
обеспечение (организация) исполнения договоров, заключаемых (заключенных) между Оператором и субъектами персональных данных и/или организация предоставления им иных услуг (товаров, работ, иных продуктов или сервиса), и/или по которым субъект персональных данных будет являться выгодоприобретателем;
обработка обращений и запросов, поступивших от субъекта персональных данных;
ведение кадровой работы и организация учета работников Предприятия, в том числе привлечение и отбор кандидатов для работы на Предприятии;
ведение индивидуального (персонифицированного) учета застрахованных лиц;
ведение воинского учета;
ведение бухгалтерского и налогового учета;
начисление и перечисление заработной платы, назначение и выплата пособий;
заполнение и передача в государственные органы и иные уполномоченные организации требуемых форм отчетности;
обработка персональных данных в целях назначения пенсий;
осуществление хозяйственной деятельности;
выполнение иных обязанностей (полномочий), предусмотренных законодательными актами.
Оператор может обрабатывать персональные данные следующих субъектов персональных данных:
кандидаты на работу, работники Предприятия, в том числе бывшие работники, их супруги и близкие родственники;
студенты, иные лица, прибывшие на Предприятие на практику, стажировку;
контрагенты-физические лица, в том числе потенциальные (по договорам);
представители потенциальных контрагентов;
лица, предоставившие персональные данные Предприятию иным путем.
6.1 К персональным данным, обрабатываемым Предприятием, относятся:
фамилия, собственное имя, отчество;
пол;
число, месяц, год рождения;
идентификационный номер;
паспортные данные;
место рождения;
цифровой фотопортрет;
данные:
о гражданстве (подданстве);
о регистрации по месту жительства и (или) месту пребывания;
о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
об образовании, ученой степени, ученом звании;
о роде занятий;
о пенсии, ежемесячном денежном содержании по законодательству;
по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;
о налоговых обязательствах;
об исполнении воинской обязанности;
об инвалидности;
о наличии исполнительного производства на исполнении в органах принудительного исполнения.
6.2 Оператор может обрабатывать специальные персональные данные только при условии согласия субъекта персональных данных либо без согласия в случаях, предусмотренных законодательством.
7.1 Оператор имеет право:
получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;
в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом.
7.2 Оператор обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
предоставлять субъекту персональных данных информацию о его персональных данных, а также о передаче его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.
8.1 Субъект персональных данных имеет право:
получать информацию, касающуюся обработки его персональных данных:
место нахождения Предприятия;
подтверждение факта обработки Предприятием персональных данных обратившегося лица;
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица (уполномоченных лиц);
иную информацию, предусмотренную законодательством;
получать от Оператора информацию о предоставлении своих персональных данных третьим лицам на условиях, определенных Законом. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
отзывать согласие на обработку персональных данных. Право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства либо на основании договора);
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия (бездействие) и решения Оператора, нарушающих его права при обработке персональных данных;
требовать от Оператора:
изменения его персональных данных в случае, если персональные данные являются неполными, устаревшими или неточными;
бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты dpo@ibagroup.eu;
осуществления иных прав, предусмотренных законодательством Республики Беларусь.
8.2 Для реализации своих прав, связанных с обработкой персональных данных Предприятием, субъект персональных данных подает заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено) по почтовому адресу, указанному в пункте 1.6 настоящей Политики. Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
Предприятие не рассматривает заявления субъектов персональных данных, направленные иными способами (email, телефон, факс и т.п).
8.3 Субъект персональных данных обязан:
предоставлять Оператору достоверные данные о себе;
сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
9.1 Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
9.2 Безопасность персональных данных, обрабатываемых Оператором, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.
9.3 Настоящая Политика вступает в силу со дня ее утверждения.
9.4 Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.
9.5 Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством.