УТВЕРЖДЕНО
Протоколом Наблюдательного совета
ОАО «Пинский опытно-механический завод»
№ 1 от 03.01.2023 года
Редакция 1 от 03.01.2023 г.
1. Общие положения.
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) определяет деятельность ОАО «Пинский опытно-механический завод» (Пинский ОМЗ) зарегистрированного по адресу: Республика Беларусь, г.Пинск, ул. Брестская, 72, почтовый адрес: 225710. (далее - Компания или Оператор) в отношении обработки персональных данных.
1.2. Настоящая Политика разработана во исполнение требований Закона Республики Беларусь от 07.05.2021 №99-3 «О защите персональных данных» (далее - Закон).
1.3. Понятия, содержащиеся в ст. 1 Закона, используются в настоящей Политике с аналогичным значением:
биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
оператор - Общество, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных;
персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
субъект - физическое лицо, в отношении которого осуществляется обработка персональных данных;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;
удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с Обществом осуществляют обработку персональных данных от имени Общества или в его интересах;
физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
1.4. В настоящей Политике используются следующие термины:
Сервисы - это любые сервисы, продукты, программы, мероприятия, услуги Компании (включая, но не ограничиваясь Битрикс, iSpring и др.).
Сайты – https://omz.by и другие принадлежащие Компании сайты, поддомены этих сайтов, а также иные сервисы, с которыми работает компания.
1.5. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.
1.6. Настоящая Политика вступает в силу с момента ее утверждения.
2. Категории субъектов персональных данных и объем обрабатываемых персональных данных.
2.1. Оператор обрабатывает персональные данные, которые могут быть получены от следующих субъектов персональных данных:
участники Компании и аффилированные лица Компании;
работники Компании, бывшие работники, кандидаты на занятие вакантных должностей;
контрагенты и клиенты Компании, являющиеся физическими лицами; представители и/или работники контрагентов и клиентов Компании, являющихся юридическими лицами или индивидуальными предпринимателями; посетители Сайтов, Сервисов Компании;
лица, предоставившие Компании персональные данные путем оформления подписок на рассылку, при отправке отзывов, обращений, путем заполнения анкет в ходе проводимых Компанией рекламных и иных мероприятий;
лица, предоставившие персональные данные Компании иным путем.
2.2. Оператор обрабатывает следующие персональные данные субъекта персональных данных:
фамилия, имя, отчество; пол;
дата рождения;
адрес электронной почты;
номер телефона;
место проживания;
род занятий (специальность, область профессиональных знаний);
место работы;
история запросов и просмотров на Сайтах и Сервисах Компании;
данные, содержащиеся в документе, удостоверяющем личность;
данные, содержащиеся в документе о воинском учете;
данные, содержащиеся в документе об образовании;
данные, содержащиеся в трудовой книжке;
данные, содержащиеся в автобиографии и характеристики с предыдущих мест работы;
данные, полученные для формирования личного дела;
данные, содержащиеся в страховом свидетельстве и других документах, подтверждающих обстоятельства, имеющие отношение к работе, предъявление которых предусмотрено законодательными актами;
иная информация (указанный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).
2.3. Для анализа работы Сайтов и Сервисов Оператор обрабатывает такие данные, как:
IP-адрес;
информация о браузере;
данные из файлов cookie;
адреса запрошенных страниц;
время доступа.
2.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и при необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
2.5. Оператор обрабатывает биометрические персональные данные только при условии согласия субъекта персональных данных либо без согласия в иных случаях, предусмотренных законодательством Республики Беларусь.
2.6. Оператор не осуществляет обработку специальных персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных и иных убеждений, здоровья, половой жизни, привлечения к административной или уголовной ответственности, за исключением случаев, когда субъект персональных данных самостоятельно предоставил такие данные Оператору, либо они стали известны Оператору в соответствии с законодательством Республики Беларусь.
2.7. Оператор в случае необходимости для достижения целей обработки вправе передавать персональные данные третьим лицам с соблюдением требований законодательства Республики Беларусь.
3. Цели сбора персональных данных.
3.1. Оператор осуществляет обработку персональных данных в следующих целях:
осуществление коммуникаций с субъектами персональных данных; совершение различный сделок с субъектами персональных данных, их последующее исполнение, а при необходимости - изменение и расторжение (прекращение);
предоставление субъектам персональных данных Сервисов Компании;
предоставление субъектам персональных данных информации о деятельности Компании, о разработке Компанией новых Сайтов и Сервисов;
отправка субъектам персональных данных уведомлений, коммерческих предложений, сообщений рекламно-информационного характера;
проведение Компанией акций, опросов, интервью, тестирований на Сайтах и Сервисах Компании;
оценка и анализ работы Сервисов Компании, контроль и улучшение качества Сервисов Компании;
информирование о работе Сайтов Компании;
регистрация и обслуживание аккаунтов на Сайтах и в Сервисах Компании;
обработка обращений и запросов, получаемых от субъектов персональных данных;
привлечение кандидатов на занятие вакантных должностей Компании;
ведение кадровой работы и организация учета работников Компании;
формирование статистической отчетности, проведение исследований;
осуществление хозяйственной деятельности;
осуществление иных полномочий и обязанностей, возложенных на Оператора законодательством Республики Беларусь.
4. Основные права и обязанности оператора и субъекта персональных данных.
4.1. Оператор имеет право:
получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе если они являются необходимыми для заявленных целей их обработки.
4.2. Оператор обязан:
разъяснять Субъекту его права, связанные с обработкой персональных данных;
получать согласие Субъекта, за исключением случаев, предусмотренных законодательными актами;
обрабатывать персональные данные в порядке, установленном законодательством Республики Беларусь;
обеспечивать защиту персональных данных в процессе их обработки;
принимать меры по обеспечению достоверности обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;
рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы;
предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных Субъекта по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;
выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.
4.3. Субъект персональных данных имеет право:
на получение информации, касающейся обработки Оператором его персональных данных;
на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
на отзыв своего согласия на обработку персональных данных;
на получение информации о предоставлении своих персональных данных третьим лицам;
на прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки;
на обжалование действия/бездействий и решения Оператора, относящегося к обработке его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством;
на осуществление иных прав, предусмотренных законодательством Республики Беларусь.
4.4. Субъект персональных данных обязан:
предоставлять Оператору исключительно достоверные сведения о себе;
в случае необходимости предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;
информировать Оператора об изменениях своих персональных данных.
4.5. Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.
5. Согласие субъекта персональных данных. Порядок и условия обработки персональных данных.
5.1. Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных законодательством Республики Беларусь, когда обработка персональных данных осуществляется без получения такого согласия.
5.2. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
Согласие Субъекта может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
В иной электронной форме согласие Субъекта может быть получено посредством:
указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
других способов, позволяющих установить факт получения согласия субъекта персональных данных.
5.3. До получения согласия субъекта персональных данных Общество в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязано предоставить субъекту персональных данных информацию, содержащую:
наименование и место нахождения Общества;
цели обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
срок, на который дается согласие Субъекта;
информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
перечень действий с персональными данными, на совершение которых дается согласие Субъекта, общее описание используемых Обществом способов обработки персональных данных;
иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
До получения согласия Субъекта Общество обязано простым и ясным языком разъяснить Субъекту его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия Субъекта или отказа в даче такого согласия. Эта информация должна быть предоставлена Обществом Субъекта в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
5.4. Субъект при даче своего согласия Обществу указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность, за исключением случая, предусмотренного частью второй настоящего пункта.
Если цели обработки персональных данных не требуют обработки информации, указанной в части первой настоящего пункта, эта информация не подлежит обработке Обществом при получении согласия Субъекта.
5.5. Обязанность доказывания получения согласия Субъекта возлагается на Оператора. Отказ в даче согласия на обработку персональных данных дает право Оператору отказать субъекту персональных данных в предоставлении доступа к Сайтам и Сервисам Компании.
5.6. Обработка персональных данных Оператором, включает в себя следующие действия с персональными данными: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление, иные действия, в соответствие с законодательством Республики Беларусь.
5.7. Способы обработки персональных данных Оператором:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей
полученной информации по информационно-телекоммуникационным сетям или без такой передачи;
смешанная обработка персональных данных.
5.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством Республики Беларусь, договором, заключенным (заключаемым) с субъектом персональных данных, в целях совершения действий, установленных этим договором.
5.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока обработки персональных данных, отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.10. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.11 Общество осуществляет обработку специальных персональных данных исключительно для целей, указанных в п. 3.1. настоящей Политики. Обработка биометрических персональных данных возможна Обществом также для целей, указанных в п. 3.1. настоящей Политики.
5.12. Обработка специальных, в том числе биометрических персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
5.13. Общество не осуществляет трансграничную передачу персональных данных если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев установленных законодательством.
6. Механизм реализации прав субъекта персональных данных.
6.1. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в письменной форме, направленного заказным почтовым отправлением, либо в виде электронного документа. Заявление должно содержать:
фамилию, имя, отчество субъекта персональных данных;
адрес места жительства (места пребывания);
дату рождения;
идентификационный номер (если указывался при даче согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных);
изложение сути требования;
личную подпись либо электронную цифровую подпись.
Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству), осуществляет их удаление, при отсутствии технической возможности удаления - принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.
6.2. Субъект персональных данных вправе получить у Оператора информацию, касающуюся обработки своих персональных данных, посредством подачи Оператору заявления в порядке, предусмотренном п. 6.1 настоящих Правил. Оператор в течение 5 рабочих дней после получения заявления предоставляет субъекту персональных данных соответствующую информацию либо уведомляет его о причинах отказа в предоставлении такой информации.
6.3. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными, посредством подачи Оператору заявления в порядке, предусмотренном п. 6.1 настоящих правил, с приложением документов (заверенных в установленном порядке копий), подтверждающих необходимость внесения таких изменений. Оператор в течение 15 дней после получения заявления вносит изменения в персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет о причинах отказа во внесении изменений.
6.4. Субъект персональных данных вправе получить от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, посредством подачи Оператору заявления в порядке, предусмотренном п. 6.1 настоящих Правил. Оператор в течение 15 дней после получения заявления предоставляет субъекту персональных данных информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет его о причинах отказа в предоставлении такой информации.
6.5. Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки, посредством подачи Оператору заявления в порядке, предусмотренном п. 6.1 настоящих Правил. Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству), осуществляет их удаление, при отсутствии технической возможности удаления - принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.
7. Меры по обеспечению защиты персональных данных
7.1. Общество обязано принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. Для защиты персональных данных Обществом принимаются следующие меры:
назначение структурных подразделений или лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;
ведение реестров обработки;
разработка и доведение до сведения всех заинтересованных лиц настоящей Политики и иных документов Общества в отношении обработки персональных данных;
ознакомление работников Общества и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, настоящей Политикой и иными документами Общества в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
7.3. Общество обязано обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Общества в отношении обработки персональных данных, до начала такой обработки.
7.4. Классификация информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных устанавливается уполномоченным органом по защите прав субъектов персональных данных.
8. Заключительные положения.
8.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
8.2. В случае, если какое-либо положение Политики признается противоречащим законодательству, остальные положения, соответствующие законодательству, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству.
8.3. Оператор имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов персональных данных. Действующая редакция Политики постоянно доступна по адресу: https://omz.by.
8.4. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Администрации сайта с помощью электронной почты sales@omz.by.