Политика обработки персональных данных ООО "Майфин"

УТВЕРЖДАЮ
Директор А.М. Паничев
от «22» марта 2024 г. № 05/2024

Скачать

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Общество с ограниченной ответственностью «Майфин» (далее – «Общество») уделяет особое внимание защите персональных данных при их обработке и ответственно подходит к соблюдению прав субъектов персональных данных.

2. Утверждение положения о политике в отношении обработки персональных данных при осуществлении хозяйственной деятельности, реализации функционала веб-сайтов и мобильного приложения Общества (далее – «Политика») является одной из принимаемых Обществом мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – «Закон»).

3 Политика разъясняет таким субъектам персональных данных, как:

- Пользователи веб-сайта Общества с доменным именем «myfin.by», а также мобильного приложения «Myfin»;

- Физические лица, приобретающие услуги сервисов Общества;

- Контрагенты Общества, т.е. физические лица, с которыми Обществом заключаются договоры гражданско-правового характера, физические лица - представители субъектов хозяйствования, уполномоченные на подписание договоров и (или) на совершение действий в рамках их исполнения;

- Лица, направившие Обществу обращения;

- Аффилированные лица Общества

(далее – «Субъекты») следующую информацию:

3.1. Как и для каких целей их персональные данные собираются, используются и обрабатываются одним из способов, предусмотренных Законом;

3.2. Какими правами наделены Субъекты, персональные данные которых обрабатываются в случаях, предусмотренных настоящей Политикой;

3.3. Механизм реализации прав Субъектами в отношении обрабатываемых Обществом персональных данных.

4. Настоящая Политика не содержит в себе сведений об обработке персональных данных при организации процессов, связанных с трудовыми отношениями, в т.ч. соискателей на вакантные должности и членов их семей, оказанием услуг (выполнением работ) физическими лицами по гражданско-правовым договорам, прохождением практики, при осуществлении административных процедур в отношении работников и бывших работников Общества, а также в отношении обработки файлов cookie и при осуществлении Обществом видеонаблюдения, так как данные отношения регулируются отдельными локальными правовыми актами Общества.

5. При внесении изменений в акты законодательства, а также в случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящей Политикой, необходимо руководствоваться такими изменениями вне зависимости от внесения соответствующих изменений в Политику.

6. Настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет по следующему адресу: https://myfin.by/site/privacy, а также размещается в месте, доступном для обозрения в помещении Общества.

7. Почтовый адрес Общества: Республика Беларусь, 220069, г. Минск, пр-т Дзержинского, д. 3Б, оф. 6, адрес электронной почты: info@myfin.by.

2. ОСНОВНЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ

8. Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

Защита персональных данных - комплекс мер, направленных на недопущение неправомерного или случайного доступа к персональным данным, их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий;

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники (автоматизации);

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;

Блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9. Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод Субъектов, в том числе для защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

- обработка персональных данных осуществляется в соответствии с законодательством Республики Беларусь;

- обработка персональных данных осуществляется соразмерно заявленным целям и обеспечивает соотношение интересов всех заинтересованных лиц;

- обработка персональных данных осуществляется с согласия Субъекта, за исключением случаев, предусмотренных законодательными актами;

- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

- обработка персональных данных носит прозрачный характер (Субъекту предоставляется соответствующая информация, касающаяся обработки его персональных данных);

- обеспечивается принятие мер по защите персональных данных от неправомерного (несанкционированного или случайного) доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий;

- обеспечивается хранение персональных данных в форме, позволяющей идентифицировать Субъект, не дольше, чем этого требуют заявленные цели их обработки;

- обрабатываемые персональные данные уничтожаются либо блокируются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом.

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10. Общество осуществляет обработку персональных данных Субъектов в следующем объеме и на правовых основаниях:

10.1. В отношении пользователей веб-сайта и мобильного приложения Общества – согласно Приложению №1 к Политике;

10.2. В отношении иных Субъектов – согласно Приложению №2 к Политике.

11. Обработка персональных данных Субъектов для целей, не предусмотренных законодательством или заключаемым (заключенным) договором, осуществляется с согласия Субъектов, если отсутствуют иные правовые основания для такой обработки. Способы получения согласия Субъектов на обработку персональных данных изложены в разделе 5 настоящей Политики.

12. При определении сроков хранения персональных данных Общество руководствуется сроками, определенными Законом Республики Беларусь от 18 апреля 2022 года № 163-З «Об архивном деле и делопроизводстве в Республике Беларусь», Перечнем типовых документов, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения, утвержденным постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 «О перечне типовых документов» (далее – «Перечень»). Если срок хранения персональных данных Субъектов не определен законодательством, то срок хранения персональных данных устанавливается Обществом самостоятельно, исходя из целей обработки персональных данных. По истечении установленных сроков хранения документы, содержащие персональные данные, уничтожаются в порядке, установленном законодательством в сфере архивного дела и делопроизводства, персональные данные, содержащиеся в информационных системах (ресурсах) Общества, удаляются, а при отсутствии технической возможности удаления - блокируются.

13. Предоставление третьим лицам персональных данных Субъектов осуществляется Обществом в случаях, предусмотренных законодательными актами, а также при наличии на то законных оснований.

14. Персональные данные в Обществе обрабатываются, как правило, с использованием средств автоматизации. Допускается обработка в установленном порядке персональных данных без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (журнал, список, реестр, перечень и пр).

15. Доступ к обрабатываемым Обществом персональным данным предоставляется исключительному кругу лиц, уполномоченному осуществлять мероприятия, связанные с обработкой персональных данных Субъектов. Порядок предоставления доступа к персональным данным определяется локальными правовыми актами Общества в соответствии с законодательством Республики Беларусь.

16. Общество осуществляет обработку персональных данных с привлечением уполномоченных лиц на основании заключенных с ними договоров на оказание определенного вида услуг (рекламных, курьерских, юридических, аудиторских, консультационных, банковских, услуг по администрированию веб-сайтов Общества, баз данных, технической поддержке программного обеспечения и пр.), с которыми отдельно оговорены порядок, условия, объем, сроки обработки персональных данных, а также ответственность за нарушение порядка обработки передаваемых персональных данных. Общество обязуется предоставлять информацию об уполномоченных лицах, которым поручена обработка персональных данных по первому требованию Субъекта.

17. Общество регулярно привлекает к обработке персональных данных следующих уполномоченных лиц на договорной основе для реализации ряда целей, опосредующих обработку персональных данных:

18. Третьи лица, которым Общество поручает обработку персональных данных, как правило, находятся на территории стран, в которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

В случае обработки персональных данных на территории страны, где не обеспечен надлежащий уровень прав Субъектов, перед получением согласия на обработку Субъект дополнительно информируется о существовании рисков, возникающих в связи с отсутствием надлежащего уровня защиты персональных данных в таких странах:

- об отсутствии специального законодательства, регулирующего обработку персональных данных, требований по соблюдению таких норм;

- об отсутствии обязательных требований по наличию и соблюдению локальных актов по обработке персональных данных;

- об отсутствии уполномоченного государственного органа по защите персональных данных;

- о риске использования ненадлежащих способов получения персональных данных;

- о риске использования ненадлежащих способов защиты персональных данных от утечки;

- о риске незаконной обработки персональных данных, в результате чего персональные данные могут стать доступными неограниченному кругу лиц и иных подобных рисках.

19. Общество предоставляет персональные данные третьим лицам на договорной основе, а также в рамках иных правовых оснований, предусмотренных Законом, в частности:

РУП «Белпочта» (Республика Беларусь, 220050, г. Минск, пр. Независимости, 10) – в целях направления почтовой корреспонденции при исполнении обязательств Обществом;

Операторам электросвязи и (или) операторам сервисов обмена электронными сообщениями, в том числе Viber Media S.à r.l, – с целью осуществления рассылки сообщений;

Банкам Республики Беларусь, небанковским кредитно-финансовым организациям, микрофинансовым организациям, лизинговым компаниям, расположенным на территории Республики Беларусь – в целях рассмотрения заявок пользователей веб-сайтов Общества на предоставление им того или иного продукта и (или) услуг, предлагаемых указанными организациями, информация о которых представлена на веб-сайте Общества;

Иным контрагентам Общества – в целях рассмотрения заявок пользователей веб-сайтов на приобретение предприятия, торгового объекта, движимого и (или) недвижимого имущества, продукции, объектов, работ (услуг), информация о продаже которых представлена на веб-сайте Общества.

20. Общество также предоставляет персональные данные Субъектов государственным органам и иным организациям при наличии на то правовых оснований, установленных законодательством Республики Беларусь о персональных данных.

21. Общество при обработке персональных данных:

21.1. Принимает меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, иных неправомерных действий, указанных в главе 6 Политики;

21.2. Назначает лицо (лиц), ответственных за осуществление внутреннего контроля за обработкой персональных данных;

21.3. Знакомит работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Общества в области защиты персональных данных, в том числе требованиями к защите персональных данных, и обучает указанных работников;

21.4. Обеспечивает неограниченный доступ Субъектов к настоящей Политике путем её размещения в информационно-телекоммуникационной сети Интернет по следующему адресу: https://myfin.by/site/privacy;

21.5. Прекращает обработку персональных данных путем их удаления, а в случае отсутствия технической возможности – путем блокирования, в случаях, предусмотренных законодательством Республики Беларусь;

21.6. Совершает иные действия, предусмотренные законодательством Республики Беларусь в области обработки и защиты персональных данных.

22. В целях обеспечения корректной работы и улучшения функционирования веб-сайтов Общества, удобства его использования, создания персонализированной рекламы и сбора аналитической информации в обобщенном виде Компания использует файлы cookie. Порядок обработки файлов cookie определен в Положении «О политике обработки файлов cookie», размещенной в сети Интернет по адресу: https://myfin.by/site/cookies-policy.

23. В целях обеспечения безопасности физических лиц и охраны общественного порядка, сохранности материальных ценностей и иного имущества Общество осуществляет видеонаблюдение по адресу своего места нахождения: Республика Беларусь, 220069, г. Минск, пр-т Дзержинского, д. 3Б, оф. 6. Порядок обработки персональных данных при использовании Обществом системы видеонаблюдения, определен в Положении «О политике видеонаблюдения», размещенной в сети Интернет по адресу: https://myfin.by/site/privacy_video.

5. ПОЛУЧЕНИЕ СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА

24. Согласие Субъекта представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

25. Согласие Субъекта может быть получено Обществом в письменной или в иной электронной форме. В иной электронной форме Общество получает согласие Субъекта посредством проставления Субъектом отметки в специально отведенном чек-боксе на веб-сайте Общества и (или) нажатия кнопки «Зарегистрироваться» в мобильном приложении «Myfin».

26. До получения согласия Общество предоставляет Субъекту информацию об условиях обработки его персональных данных, а именно:

26.1. Местонахождение Общества

26.2. Цель обработки персональных данных;

26.3. Перечень обрабатываемых персональных данных, необходимых для достижения заявленной цели обработки;

26.3. Перечень совершаемых действий с персональными данными, необходимых для достижения заявленной цели обработки, а также способ их обработки (с использованием средств автоматизации либо без использования средств автоматизации);

26.4. Привлекаемых уполномоченных лицах, в случае их привлечения;

26.5. В случае трансграничной передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, Общество дополнительно информирует Субъекта о рисках, возникающих в связи с отсутствием надлежащего уровня защиты его персональных данных в таких государствах;

26.6. Срок, на который Субъект дает свое согласие.

27. Общество до получения согласия разъясняет Субъекту его права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи согласия или отказа в даче такого согласия.

6. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, МЕХАНИЗМ ИХ РЕАЛИЗАЦИИ

28. Субъекты, поименованные в Политике, имеют следующие права:

29. Для реализации своих прав, связанных с обработкой персональных данных Обществом, указанных в графах 1-4 пункта 28 настоящей Политики, Субъект подает в Общество заявление в письменной форме или в виде электронного документа по почтовому либо электронному адресам, указанным в пункте 7 Политики.

Такое заявление должно содержать:

-фамилию, собственное имя, отчество (если таковое имеется) Субъекта, адрес его места жительства (места пребывания);

-дату рождения Субъекта;

-идентификационный номер Субъекта, при отсутствии такого номера – номер документа, удостоверяющего личность Субъекта, в случаях, если эта информация указывалась Субъектом при даче своего согласия или обработка персональных данных осуществляется без согласия Субъекта;

-изложение сути требований Субъекта;

-личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) Субъекта.

30. Для реализации Субъектом права на отзыв согласия на обработку персональных данных необходимо направить Обществу соответствующее заявление в порядке и на условиях, установленных пунктом 29 Политики.

В случае, если согласие было предоставлено Субъектом в иной электронной форме, реализация права на отзыв согласия возможна путем:

30.1. Нажатия кнопки «Удалить приложение» в личных настройках устройства, с которого осуществляется вход в мобильное приложение «Myfin»;

30.2. Направления электронного сообщения на адрес электронной почты Общества, указанный в пункте 7 настоящей Политики.

Право на отзыв согласия не может быть реализовано в случае, когда обработка персональных данных осуществляется на основании договора либо иных правовых основаниях, предусмотренных законодательством о персональных данных.

31. Ответ на заявление направляется Субъекту в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

32. Субъект вправе обратиться за содействием в реализации своих прав к сотруднику, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Обществе, направив соответствующее электронное сообщение на адрес электронной почты info@myfin.by.

33. Субъект обязан:

33.1. Представлять Обществу достоверные персональные данные;

33.2. Своевременно сообщать Обществу об изменениях и (или) дополнениях своих персональных данных;

33.3. Исполнять иные обязанности, предусмотренные законодательством Республики Беларусь.

6. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

34. Общество принимает меры для защиты персональных данных Субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, иных неправомерных действий.

К таким мерам относятся:

- ознакомление работников Общества с требованиями законодательства Республики Беларусь и локальными правовыми актами Общества в области защиты персональных данных;

- издание внутренних документов Общества по вопросам, связанным с обработкой персональных данных;

- применение организационных и технических мер по обеспечению защиты персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных;

- осуществление внутреннего контроля за соблюдением работниками Общества, осуществляющими обработку персональных данных Субъектов, требований законодательства и локальных правовых актов Общества;

- ограничение Обществом доступа работников к документам, информационным ресурсам, техническим средствам и носителям информации, информационным ресурсам (системам);

- организация обучения и проведение методической работы с работниками структурных подразделений Общества, которые осуществляют обработку персональных данных;

- обеспечение безопасности персональных данных при их передаче третьим лицам в порядке и на условиях, установленных законодательством Республики Беларусь;

- назначение лица, ответственного за контроль обработки персональных данных в Обществе;

- осуществление технической и криптографической защиты персональных данных в порядке, установленном законодательством Республики Беларусь;

- совершение иных действий, предусмотренных законодательством Республики Беларусь в области защиты персональных данных.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

35. Внутренний контроль за соблюдением работниками и структурными подразделениями Общества законодательства Республики Беларусь и локальных правовых актов Общества при обработке персональных данных Субъектов, в том числе требований к защите персональных данных, осуществляет заместитель директора по общим вопросам.

36. Общество, в том числе его работники, несут ответственность за надлежащую обработку персональных данных Субъектов в размерах и порядке, предусмотренных законодательством Республики Беларусь.

37. За нарушение работниками Общества требований законодательства Республики Беларусь при обработке персональных данных, работники Общества, по чьей вине произошло такое нарушение, в зависимости от характера и степени нарушения могут быть привлечены к дисциплинарной, административной или уголовной ответственности соответственно.

38. Моральный и имущественный вред, причиненный Субъекту вследствие нарушения его прав в области защиты персональных данных, а также требований к технической и криптографической защите информации, подлежит возмещению в соответствии с законодательством Республики Беларусь.

39. Настоящая Политика вступает в силу с момента ее утверждения и распространяет свое действие в отношении Субъектов.

40. Вопросы, касающиеся обработки персональных данных, не затронутые в настоящей Политике, регулируются законодательством Республики Беларусь.

Заместитель директора по общим вопросам __________ Ю.А. Верес

Приложение №1
к Положению от 22.03.2024
№ 05/2024____________

Приложение №2
к Положению от 22.03.2024 №
05/2024___________

• Политика обработки файлов cookie
• О политике видео-наблюдения
• Условия обработки персональных данных
• Права, связанные с обработкой персональных данных