ПОЛИТИКА
в отношении обработки персональных данных
индивидуальным предпринимателем Анушкиным Ю.И.

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) определяет цели, правовые основания, объём, порядок и условия обработки персональных данных, осуществляемой индивидуальным предпринимателем Анушкиным Юрием Игоревичем, УНП 691754910 (далее — Оператор), а также реализуемые меры по защите персональных данных.

1.2. Политика разработана в соответствии с Конституцией Республики Беларусь, Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон), Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» и иными актами законодательства Республики Беларусь о персональных данных.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с использованием средств автоматизации и без таковых.

1.4. Текст Политики постоянно размещён в свободном доступе в глобальной компьютерной сети Интернет на сайте Оператора по адресу: https://managym.by/.

1.5. Термины, используемые в Политике, применяются в значениях, установленных Законом.

2. Роли Оператора при обработке персональных данных

2.1. Оператор обрабатывает персональные данные в двух качествах:

• в качестве оператора — в отношении персональных данных собственного работника, контрагентов и их представителей, посетителей сайта managym.by;
• в качестве уполномоченного лица — в отношении персональных данных, передаваемых Оператору заказчиками услуг (в том числе работников заказчиков) для проведения корпоративных обучающих мероприятий, в объёме и на условиях, определённых соответствующим договором с заказчиком.

2.2. При обработке персональных данных в качестве уполномоченного лица Оператор действует исключительно в интересах и по поручению заказчика-оператора, в пределах целей и категорий персональных данных, определённых договором, и обеспечивает защиту персональных данных в соответствии со статьёй 17 Закона.

3. Принципы обработки персональных данных

3.1. Оператор осуществляет обработку персональных данных на следующих принципах:

• законности целей и способов обработки;
• соразмерности заявленным целям;
• прозрачности — обеспечения субъектам доступа к информации об обработке их персональных данных;
• обеспечения защиты от несанкционированного доступа, изменения, распространения, предоставления, блокирования и удаления;
• хранения в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют цели обработки.

4. Категории субъектов и персональных данных. Цели обработки

4.1. Оператор обрабатывает следующие категории персональных данных:

• работник Оператора (администратор) — фамилия, собственное имя, отчество (при наличии), пол, дата рождения, паспортные данные (серия, номер, дата выдачи, орган, выдавший документ), идентификационный номер, адрес регистрации и фактического проживания, номер контактного телефона, адрес электронной почты, сведения об образовании и квалификации, сведения о трудовой деятельности, сведения о доходах, банковские реквизиты — в целях исполнения трудового договора, кадрового и бухгалтерского учёта, исчисления и уплаты налогов, отчислений в ФСЗН, ведения воинского учёта;
• контрагенты — индивидуальные предприниматели, физические лица — фамилия, собственное имя, отчество (при наличии), УНП (при наличии), реквизиты документа, удостоверяющего личность (при необходимости), адрес, банковские реквизиты, контактные данные — в целях заключения и исполнения гражданско-правовых договоров, ведения бухгалтерского и налогового учёта;
• представители контрагентов — юридических лиц — фамилия, собственное имя, отчество (при наличии), должность, контактные данные — в целях ведения переписки, заключения и исполнения договоров;
• участники обучающих мероприятий, направляемые заказчиками-операторами, — фамилия, собственное имя, отчество (при наличии), при необходимости должность, наименование организации-заказчика — в целях оформления именных бейджей, формирования сертификатов о прохождении обучения и подтверждения факта оказания услуг по договору с заказчиком;
• посетители сайта managym.by, направляющие обращения через формы обратной связи или по контактам, указанным на сайте, — фамилия, собственное имя (при сообщении), контактные данные (телефон, адрес электронной почты), содержание обращения — в целях рассмотрения обращения и направления ответа.

4.2. Специальные персональные данные (в том числе биометрические и генетические) Оператором не обрабатываются.

5. Правовые основания обработки персональных данных

5.1. Обработка персональных данных осуществляется Оператором без согласия субъекта в случаях, прямо предусмотренных пунктом 1 статьи 6 Закона, в том числе:

• для исполнения трудового договора с работником и реализации обязательств работодателя, предусмотренных законодательством о труде, налогах и социальном страховании;
• для оформления, исполнения договоров, стороной которых либо выгодоприобретателем по которым является субъект персональных данных;
• в целях, предусмотренных актами законодательства, и в случаях, когда обработка необходима для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
• для осуществления прав и законных интересов Оператора (в том числе для рассмотрения обращений, ведения деловой переписки, защиты прав в суде) — при условии, что не нарушаются права и свободы субъекта.

5.2. В иных случаях обработка персональных данных осуществляется на основании согласия субъекта персональных данных, полученного в форме, позволяющей подтвердить факт его получения.

5.3. Обработка персональных данных в рамках договоров с заказчиками-операторами (в роли уполномоченного лица) осуществляется на основании соответствующего договора и поручения заказчика-оператора.

6. Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования.

6.2. Информационные ресурсы (системы), используемые Оператором для обработки персональных данных, определены отдельным локальным правовым актом — Перечнем информационных ресурсов (систем), содержащих персональные данные.

6.3. Доступ к персональным данным предоставляется исключительно лицам, которым он необходим для исполнения трудовых (служебных) обязанностей, в порядке, установленном локальным правовым актом Оператора, регулирующим порядок доступа к персональным данным.

6.4. Оператор не осуществляет принятия решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, исключительно на основании автоматизированной обработки персональных данных.

7. Передача персональных данных

7.1. Оператор передаёт персональные данные третьим лицам в следующих случаях:

• уполномоченным государственным органам — в случаях, объёме и порядке, предусмотренных законодательством (Министерство по налогам и сборам, ФСЗН, иные органы);
• заказчику-оператору — при выступлении Оператора уполномоченным лицом, в порядке, предусмотренном договором (передача результатов обработки, возврат персональных данных по завершении обработки);
• уполномоченным лицам Оператора — при их привлечении на основании договора, содержащего меры по защите персональных данных, предусмотренные статьёй 17 Закона. Перечень уполномоченных лиц устанавливается отдельным локальным правовым актом Оператора и при отсутствии таких лиц является пустым.

7.2. Распространение персональных данных (предоставление неопределённому кругу лиц) Оператором не осуществляется.

7.3. Трансграничная передача персональных данных в страны, не обеспечивающие надлежащий уровень защиты прав субъектов, Оператором не осуществляется. При использовании сервисов электронной почты и обмена сообщениями (Google Workspace, Telegram) Оператор учитывает требования законодательства о персональных данных и ограничивается обработкой обычных (неспециальных) персональных данных в объёме, минимально необходимом для коммуникации.

8. Сроки обработки и хранения персональных данных

8.1. Сроки хранения персональных данных определяются исходя из целей обработки и установлены Реестром обработки персональных данных Оператора.

8.2. По достижении целей обработки, прекращении правовых оснований обработки либо по требованию субъекта персональных данных (в случаях, когда такое требование подлежит удовлетворению в соответствии с Законом) персональные данные подлежат удалению (уничтожению) в порядке, установленном локальным правовым актом Оператора.

8.3. При обработке персональных данных в качестве уполномоченного лица Оператор удаляет (уничтожает) персональные данные либо возвращает их заказчику-оператору в срок, установленный договором, а при отсутствии такого условия — не позднее 30 календарных дней с даты прекращения обработки.

9. Меры по обеспечению защиты персональных данных

9.1. Оператор принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий в отношении персональных данных.

9.2. К числу принятых мер относятся, в том числе:

• утверждение настоящей Политики и иных локальных правовых актов в области обработки и защиты персональных данных;
• назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
• ознакомление работника, непосредственно осуществляющего обработку персональных данных, с положениями законодательства о персональных данных и локальными правовыми актами Оператора;
• установление дифференцированного доступа к персональным данным;
• парольная защита учётных записей и устройств, используемых для обработки персональных данных, применение двухфакторной аутентификации в сервисах, где это технически возможно;
• использование лицензионного программного обеспечения, антивирусной защиты, регулярное обновление программных средств;
• хранение бумажных носителей персональных данных в местах, исключающих доступ посторонних лиц;
• заключение с уполномоченными лицами и работниками соглашений (договоров), предусматривающих обязательства по обеспечению конфиденциальности и защите персональных данных.

9.3. Техническая и криптографическая защита персональных данных осуществляется в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), установленной приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 12.

10. Права субъектов персональных данных и порядок их реализации

10.1. Субъект персональных данных имеет права, предусмотренные главой 3 Закона, в том числе право:

• на отзыв согласия на обработку персональных данных;
• на получение информации, касающейся обработки своих персональных данных;
• на внесение изменений в свои персональные данные;
• на бесплатное прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для дальнейшей обработки;
• на обжалование действий (бездействия) и решений Оператора, нарушающих его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь и в суд.

10.2. Заявление субъекта персональных данных направляется Оператору в письменной форме либо в форме электронного документа и должно содержать сведения, указанные в статье 14 Закона.

10.3. Оператор рассматривает заявление субъекта в порядке и сроки, установленные Законом, в том числе:

• заявление об отзыве согласия — в срок не позднее 15 рабочих дней с даты получения;
• заявление о получении информации, об изменении, прекращении обработки (удалении) — в срок не позднее 15 рабочих дней с даты получения.

10.4. Отзыв согласия осуществляется в той же форме, в которой согласие было получено, либо в иной форме, предусмотренной Оператором (письменное заявление, электронное сообщение на адрес ответственного лица).

11. Ответственное лицо. Контактная информация

11.1. Лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных у Оператора, является сам индивидуальный предприниматель Анушкин Ю.И.

11.2. Контактные данные для направления заявлений и обращений субъектов персональных данных:

• почтовый адрес: 220012, г. Минск, пр-т Независимости, д. 88, кв. 106;
• адрес электронной почты: mail@managym.by;
• через форму обратной связи на сайте: https://managym.by/.

11.3. Жалоба на действия (бездействие) и решения Оператора может быть подана в Национальный центр защиты персональных данных Республики Беларусь (https://cpd.by/) и в суд.

12. Заключительные положения

12.1. Настоящая Политика вступает в силу с даты её утверждения и действует бессрочно до замены новой редакцией.

12.2. Изменения в Политику вносятся приказом Оператора. Действующая редакция Политики размещается на сайте Оператора.

12.3. Контроль за исполнением Политики осуществляет Оператор.