Политика конфиденциальности

ПОЛИТИКА
В отношении обработки персональных данных

Контактные данные оператора
Индивидуальный предприниматель [Рускевич, Руслан, Александрович] (далее – Оператор)
Регистрационный номер (УНП): [693404432]
Юридический адрес: [Минская обл. Солигорский район Солигорск, б-р Шахтёров д.5, кв.60]
Адрес электронной почты: admiralrusso@yandex.by
Номер телефона: +375 29 857-857-3 (звонки, Telegram, Viber)
Адрес интернет-сайта: [avtomed.by]

Настоящий документ определяет порядок обработки и защиты персональных данных лиц и организаций, пользующихся услугами Оператора и (или) заполнивших форму обратной связи на Сайте.

1. Общие положения
1.1. Издание настоящей Политики в отношении обработки персональных данных (далее – Политика) является одной из обязательных мер по обеспечению защиты персональных данных, принимаемых Индивидуальным предпринимателем [РУСКЕВИЧ Р.А.] (далее – Оператор), и предусмотрено статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).
1.2. Настоящая Политика разработана в соответствии с Законом и разъясняет субъектам персональных данных, как, для каких целей и на каком правовом основании их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
1.3. Действие Политики распространяется на обработку персональных данных клиентов (физических лиц/юридических лиц/индивидуальных предпринимателей) и пользователей, заполнивших форму обратной связи на интернет-сайте Оператора по адресу: [avtomed.by].
1.4. В настоящей Политике используются термины и их определения в значении, предусмотренном Законом.

2. Цели обработки персональных данных
Оператор обрабатывает персональные данные субъектов исключительно в следующих целях:
2.1. Обработка заявок, поступивших через форму обратной связи на интернет-сайте Оператора.
Правовое основание: Согласие субъекта персональных данных на обработку его персональных данных, предоставляемое путем заполнения соответствующих полей формы обратной связи и нажатия кнопки «Отправить заявку».
2.2. Заключение и исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, включая обмен необходимой информацией, предоставление консультаций и совершение иных действий, необходимых для исполнения обязательств Оператора.
Правовое основание: Договор, стороной которого является субъект персональных данных.
2.3. Осуществление обратной связи с субъектом персональных данных, в том числе направление уведомлений, касающихся оказываемых услуг.
Правовое основание: Согласие субъекта персональных данных, предоставляемое при заполнении формы обратной связи.
2.4. Соблюдение требований законодательства, в том числе в области бухгалтерского учёта и налогообложения (например, для формирования первичных учётных документов, выставления счетов и иных операций, предусмотренных законом).
Правовое основание: Обязанность (полномочие), предусмотренная законодательными актами.

3. Категории субъектов, чьи персональные данные обрабатываются
Оператор обрабатывает персональные данные следующих категорий субъектов:
3.1. Пользователи интернет-сайта, заполнившие форму обратной связи
· Цель обработки: обработка заявок, поступивших через интернет-сайт (пункт 2.1 Политики).
· Цель обработки: осуществление обратной связи (пункт 2.3 Политики).
3.2. Клиенты, заключившие договор на оказание услуг
· Цель обработки: заключение и исполнение договора (пункт 2.2 Политики).
· Цель обработки: соблюдение требований законодательства (пункт 2.4 Политики).
3.3. Физические лица/юридические лица/индивидуальные предприниматели, направившие запрос для осуществления обратной связи
· Цель обработки: осуществление обратной связи (пункт 2.3 Политики).
3.4. Физические лица/юридические лица/индивидуальные предприниматели, персональные данные которых обрабатываются в рамках соблюдения требований законодательства
· Цель обработки: соблюдение требований законодательства (пункт 2.4 Политики).

4. Перечень обрабатываемых персональных данных
Оператор обрабатывает персональные данные следующих категорий субъектов, указанных в разделе 3 настоящей Политики, в следующем объеме:
4.1. В отношении пользователей интернет-сайта, заполнивших форму обратной связи:
· фамилия, собственное имя, отчество (если таковое имеется);
· номер контактного телефона;
· адрес электронной почты;
· текст обращения (комментарий), содержащий иную информацию, необходимую для обработки заявки.
4.2. В отношении клиентов (физические лица/юридические лица/индивидуальные предприниматели), заключивших договор на оказание услуг:
· фамилия, собственное имя, отчество (если таковое имеется);
· паспортные данные (серия, номер, дата выдачи, орган, выдавший документ);
· номер контактного телефона;
· адрес места жительства (регистрации);
· адрес электронной почты.
· текст обращения (комментарий), содержащий иную информацию.
4.3. В отношении физических лиц, направивших запрос для осуществления обратной связи:
· фамилия, собственное имя, отчество (если таковое имеется);
· номер контактного телефона;
· адрес электронной почты (при наличии);
· содержание запроса.

5. Правовые основания обработки персональных данных
5.1. Обработка персональных данных Оператором осуществляется при наличии хотя бы одного из следующих правовых оснований:
5.1.1. Согласие субъекта персональных данных — для обработки заявок, полученных через форму обратной связи, и осуществления обратной связи (пункты 2.1 и 2.3 целей обработки).
5.1.2. Необходимость выполнения договора (в соответствии с абзацем третьим части второй статьи 6 Закона) — если обработка персональных данных необходима для заключения или исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, включая соблюдение требований законодательства в рамках такого договора (пункты 2.2 и 2.4 целей обработки).
5.1.3. Необходимость соблюдения требований законодательства — если обработка необходима для установления, осуществления или защиты прав и законных интересов Оператора, а также для выполнения обязанностей (полномочий), предусмотренных законодательными актами Республики Беларусь (включая, но не ограничиваясь, законодательством о бухгалтерском учете и налогообложении).

6. Сроки хранения персональных данных
6.1. Срок хранения персональных данных, обрабатываемых Оператором, определяется сроком действия согласия субъекта персональных данных либо сроком действия договора с субъектом персональных данных, а также требованиями законодательства.
6.2. Сроки хранения персональных данных, обрабатываемых Оператором, устанавливаются в соответствии с Постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 «О перечне типовых документов» (далее – Постановление № 140) и не могут превышать сроки хранения документов, в которых содержатся такие данные.
6.3. Оператор устанавливает следующие сроки хранения персональных данных (документов, их содержащих):
6.3.1. Персональные данные, обрабатываемые в рамках заявок, поступивших через интернет-сайт, – до достижения целей обработки, но не более 3 лет с даты последней заявки субъекта.
6.3.2. Персональные данные, обрабатываемые в рамках договорных отношений с клиентами, – до истечения срока действия договора, а также в течение сроков, установленных законодательством для хранения первичных учётных документов.
6.3.3. Согласия субъектов персональных данных на обработку персональных данных – в течение 1 года после окончания срока, на который даётся согласие.
6.3.4. Заявления субъектов персональных данных – 1 год.
6.3.5. Уведомления о нарушениях систем защиты персональных данных – 3 года.

7. Права субъектов персональных данных
Субъект персональных данных, персональные данные которого обрабатываются Оператором, имеет право на:
7.1. Отзыв согласия (Статья 10 Закона)
Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие на обработку персональных данных.
· Как отозвать: направив Оператору заявление по адресу электронной почты admiralrusso@yandex.by или заказным письмом по юридическому адресу (Минская обл. Солигорский район Солигорск, б-р Шахтёров д.5, кв.60).
· Что произойдет: Оператор обязан в 15-дневный срок прекратить обработку персональных данных, удалить их и уведомить об этом субъекта.
· Важное уточнение: Отзыв согласия не имеет обратной силы. Это означает, что обработка данных, которая происходила до получения Оператором заявления об отзыве, признается законной.
7.2. Получение информации и изменение данных (Статья 11 Закона)
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Такая информация должна в том числе содержать подтверждение факта обработки данных Оператором, перечень обрабатываемых данных, правовые основания и цели их обработки.
· В случае, если персональные данные являются неполными, устаревшими или неточными, субъект имеет право требовать их изменения.
7.3. Предоставление данных третьим лицам (Статья 12 Закона)
Субъект персональных данных вправе получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно.
7.4. Прекращение обработки и удаление данных (Статья 13 Закона)
Субъект персональных данных имеет право требовать прекращения обработки своих персональных данных и (или) их удаления оператором при отсутствии правовых оснований для их обработки.
7.5. Обжалование действий оператора
Действия (бездействие) Оператора могут быть обжалованы в уполномоченный государственный орган — Национальный центр защиты персональных данных.

8. Порядок уничтожения персональных данных
8.1. Основания для уничтожения
Оператор осуществляет уничтожение персональных данных в следующих случаях:
1. по достижении целей их обработки, указанных в разделе 2 настоящей Политики;
2. по истечении установленного срока хранения, указанного в разделе 6 настоящей Политики;
3. при отзыве субъектом персональных данных своего согласия на обработку (если иное не предусмотрено законодательными актами);
4. по требованию самого субъекта на основании статьи 13 Закона № 99‑З;
5. по требованию уполномоченного государственного органа (например, НЦЗПД);
6. при выявлении неправомерной обработки персональных данных.
8.2. Срок уничтожения
Уничтожение персональных данных (в том числе по заявлению субъекта) должно быть осуществлено Оператором в срок, не превышающий 15 рабочих дней с даты наступления основания для их уничтожения.
8.3. Способы уничтожения и подтверждение
Для документального подтверждения уничтожения данных, Оператор — Индивидуальный предприниматель (руководствуясь правом ИП не создавать комиссию) — лично осуществляет:
· Физическое уничтожение бумажных носителей (например, с помощью шредера сжиганием) с составлением Акта об уничтожении, который включает:
· дату и основание уничтожения;
· информацию о способе уничтожения и невозможности восстановления данных.
· Безвозвратное удаление электронных данных с помощью программных средств штатными возможностями ОС (например, очистка «Корзины» ОС). Для подтверждения удаления в описанном Акте об уничтожении делается соответствующая отметка с указанием способа.
Акты об уничтожении данных (бумажных и электронных) являются внутренними документами Оператора и хранятся для обеспечения внутреннего контроля за соблюдением законодательства о персональных данных.

9. Порядок ознакомления с Политикой
9.1. Настоящая Политика является общедоступным документом. Оператор обеспечивает неограниченный доступ к тексту Политики для неопределенного круга лиц.
9.2. Ознакомиться с текстом Политики можно следующими способами:
· на интернет-сайте Оператора по адресу: [avtomed.by] в специальном разделе «Политика конфиденциальности и обработка персональных данных» либо в нижней части (футере) главной страницы сайта;
· путем направления письменного запроса Оператору на адрес электронной почты admiralrusso@yandex.by, в ответ на который Оператор направляет текст Политики (в формате электронного документа).

9.3. Размещение Политики на интернет-сайте Оператора признается надлежащим способом выполнения требования об обеспечении неограниченного доступа к ней, предусмотренного абзацем третьим пункта 3 статьи 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З «О защите персональных данных».

10. Порядок внесения изменений в Политику
10.1. Оператор имеет право вносить изменения в настоящую Политику в одностороннем порядке без предварительного уведомления субъектов персональных данных.
10.2. Изменения в Политику вступают в силу с момента размещения новой редакции Политики на интернет-сайте Оператора по адресу: [avtomed.by], если иной срок вступления изменений в силу не указан в соответствующем документе.
10.3. Регулярное ознакомление с текстом Политики является обязанностью субъекта персональных данных. Оператор не несет ответственности за неознакомление субъекта с актуальной редакцией Политики при условии ее постоянного размещения на сайте.
10.4. Новая редакция Политики действует с момента ее размещения и распространяется на все отношения, связанные с обработкой персональных данных, возникшие после ее вступления в силу, если иное не предусмотрено законодательством Республики Беларусь.
10.5. В случае внесения изменений, связанных с изменением законодательства или существенным изменением условий обработки персональных данных, Оператор размещает информацию об этом на интернет-сайте. Субъект персональных данных, продолжая использовать сайт и услуги Оператора после размещения новой редакции Политики, подтверждает свое согласие с внесенными изменениями.

11. Порядок обработки обращений субъектов персональных данных
11.1. Субъект персональных данных вправе направлять Оператору обращения (заявления, предложения, жалобы) по вопросам, связанным с обработкой его персональных данных, в соответствии со статьей 14 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З «О защите персональных данных».
11.2. Обращения могут быть поданы следующими способами:
· в письменной форме (нарочным, по почте) по адресу: [Минская обл. Солигорский район Солигорск, б-р Шахтёров д.5, кв.60];
· в электронной форме на адрес электронной почты Оператора: admiralrusso@yandex.by.
11.3. Письменное обращение должно содержать:
· наименование организации, к которой направляется обращение (Оператору);
· фамилию, собственное имя, отчество (если таковое имеется) либо инициалы субъекта персональных данных;
· адрес места жительства (места пребывания) субъекта;
· изложение сути обращения (требования, заявления, жалобы);
· личную подпись субъекта.
11.4. Электронное обращение должно содержать те же сведения, что и письменное, и направляться с указанием адреса электронной почты для направления ответа.
11.5. Оператор осуществляет регистрацию поступивших обращений в день их поступления. По результатам рассмотрения обращения субъекту направляется мотивированный ответ в порядке и сроки, установленные законодательством об обращениях граждан и юридических лиц.
11.6. Общий срок рассмотрения обращений у Оператора составляет 15 (пятнадцать) дней со дня, следующего за днём регистрации обращения, если законодательством не установлен иной срок.
11.7. В случае, если для рассмотрения обращения необходимы дополнительные изучение и проверка, срок рассмотрения может быть продлен, но не более чем до 1 (одного) месяца, о чем субъект персональных данных уведомляется в письменной или электронной форме с указанием причин продления.
11.8. Оператор вправе оставить обращение без рассмотрения по существу в следующих случаях:
· обращение изложено не на белорусском или русском языке;
· обращение не содержит фамилии, собственного имени, отчества и адреса места жительства субъекта;
· обращение содержит нецензурные либо оскорбительные слова или выражения;
· текст обращения не поддается прочтению;
· обращение подано представителем без подтверждения его полномочий;
· в обращении содержится вопрос, на который субъекту ранее давался ответ по существу, и при этом в обращении не приводятся новые обстоятельства.
В этих случаях субъекту направляется соответствующее уведомление с указанием причин.
11.9. Оператор ведёт учёт всех поступивших обращений, а также принятых по ним решений в целях осуществления внутреннего контроля за соблюдением законодательства о персональных данных.
11.10. Ответственность за рассмотрение обращений и подготовку ответов несёт Оператор (Индивидуальный предприниматель [Рускевич Руслан Александрович).

12. Меры по обеспечению безопасности при обработке персональных данных
12.1. Основные принципы защиты
Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в соответствии со статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З «О защите персональных данных».
12.2. Организационные меры
В целях обеспечения безопасности персональных данных Оператор — Индивидуальный предприниматель:
· самостоятельно осуществляет внутренний контроль за соблюдением требований Закона и настоящей Политики;
· ограничивает доступ к персональным данным третьих лиц;
· обеспечивает хранение персональных данных в условиях, исключающих доступ к ним посторонних лиц и их хищение;
· уничтожает персональные данные по достижении целей обработки или при отзыве согласия субъектом в порядке, предусмотренном разделом 8 настоящей Политики;
· документирует факты уничтожения персональных данных в соответствии с требованиями раздела 8 настоящей Политики.
12.3. Технические меры
Оператор принимает следующие технические меры для защиты персональных данных, обрабатываемых с использованием средств автоматизации:
· использование стойких паролей для доступа к устройствам (компьютер, ноутбук, мобильные устройства), на которых хранятся персональные данные, с регулярной сменой паролей;
· применение встроенных средств защиты операционной системы с регулярным обновлением;
· регулярное обновление операционной системы и прикладного программного обеспечения для устранения уязвимостей безопасности;
· ограничение физического доступа к устройствам, содержащим персональные данные;
· регулярное создание резервных копий (бэкапов) важных данных для предотвращения их потери в результате технических сбоев или кибератак;
· использование двухфакторной аутентификации для доступа к аккаунтам, связанным с обработкой персональных данных (почтовый ящик, аккаунт в CRM-системе, облачное хранилище и т.п.), где это технически возможно;
· обеспечение безопасной работы с сетью Интернет: неиспользование открытых (публичных) Wi-Fi сетей для передачи персональных данных, шифрование домашней Wi-Fi сети.
12.4. Контроль доступа к персональным данным
Оператор самостоятельно (как единственное лицо, имеющее доступ к персональным данным) обеспечивает соблюдение принципа минимальной достаточности при обработке персональных данных, не допуская предоставления доступа к ним третьим лицам без наличия законных оснований.
12.5. Обработка персональных данных без использования средств автоматизации
При обработке персональных данных, зафиксированных на бумажных носителях (распечатанные анкеты, договоры, заявления), Оператор обеспечивает их хранение в запираемых ящиках (сейфах, шкафах) в условиях, исключающих доступ третьих лиц.

13. Согласие на обработку персональных данных
Согласие субъекта персональных данных
Я, нижеподписавшийся, являясь субъектом персональных данных, в соответствии со статьей 5 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных», свободно, своей волей и в своем интересе даю согласие Индивидуальному предпринимателю [Рускевич Руслан Александрович] (далее – Оператор) на автоматизированную и неавтоматизированную обработку следующих моих персональных данных:
· фамилия, собственное имя, отчество (если таковое имеется);
· дата рождения (предоставляется по желанию, при наличии договора);
· паспортные данные (серия, номер, дата выдачи, орган, выдавший документ) — в рамках заключения договора;
· адрес места жительства (регистрации);
· номер контактного телефона;
· адрес электронной почты.
Цель обработки: заключение и исполнение договора на оказание услуг, обработка заявок с сайта, осуществление обратной связи, соблюдение требований бухгалтерского и налогового законодательства, а также направления информационных сообщений (в случае отдельного согласия).
Перечень действий с персональными данными: сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, удаление персональных данных. Хранение данных осуществляется в электронном виде на компьютере, защищённом паролем, а также в виде бумажных копий в запираемом сейфе/шкафу.
Срок действия согласия: 5 (пять) лет с даты подписания настоящего Согласия. По истечении указанного срока действие Согласия прекращается, а персональные данные подлежат уничтожению в течение 15 рабочих дней.
Также настоящим я подтверждаю, что ознакомлен(а) с Политикой оператора в отношении обработки персональных данных, размещенной в свободном доступе [avtomed.by], и мне разъяснены права, связанные с обработкой моих персональных данных, механизм их реализации, а также последствия дачи мною Согласия либо отказа в его даче. Уведомлен(а), что могу в любое время отозвать настоящее Согласие, направив Оператору письменное заявление на адрес электронной почты (admiralrusso@yandex.by) или по юридическому адресу (в таком случае Оператор удалит мои данные в течение 15 рабочих дней).

14. Отзыв согласия на обработку персональных данных
14.1. Право на отзыв согласия
Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие на обработку персональных данных, данное Оператору. Это право предусмотрено статьей 10 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных».
14.2. Способы отзыва согласия
Отзыв согласия осуществляется посредством подачи Оператору заявления одним из следующих способов (по выбору субъекта):
· в письменной форме (нарочным или заказным письмом с уведомлением о вручении) по юридическому адресу (месту нахождения) Оператора: [Минская обл. Солигорский район Солигорск, б-р Шахтёров д.5, кв.60]
· в электронной форме (скан-копия заявления с собственноручной подписью) на адрес электронной почты Оператора: admiralrusso@yandex.by
Заявление об отзыве согласия может быть подано также в форме, посредством которой было получено согласие субъекта персональных данных (например, путем заполнения специальной электронной формы на интернет-сайте Оператора).
14.3. Требования к содержанию заявления
Заявление об отзыве согласия на обработку персональных данных должно содержать:
· фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных;
· адрес места жительства (места пребывания) субъекта;
· дату рождения субъекта;
· идентификационный номер, номер документа, удостоверяющего личность, если такие сведения были предоставлены субъектом при даче согласия Оператору;
· изложение волеизъявления субъекта об отзыве согласия;
· дату составления заявления и личную подпись субъекта.
14.4. Порядок обработки заявления об отзыве согласия
Поступившее заявление об отзыве согласия регистрируется Оператором в день его поступления.
Оператор рассматривает заявление об отзыве согласия и принимает решение в срок, установленный законодательством об обращениях граждан и юридических лиц.
14.5. Сроки прекращения обработки и уничтожения персональных данных
Оператор обязан прекратить обработку персональных данных субъекта и уничтожить их (или обеспечить их уничтожение) в срок, не превышающий 15 (пятнадцати) рабочих дней с даты поступления заявления об отзыве согласия.
Факт уничтожения персональных данных фиксируется Оператором в Акте об уничтожении персональных данных (в порядке, предусмотренном разделом 8 настоящей Политики).
14.6. Последствия отзыва согласия
Отзыв субъектом персональных данных согласия на обработку его персональных данных не имеет обратной силы. Это означает, что обработка персональных данных, осуществлявшаяся Оператором до момента получения заявления об отзыве согласия, признается законной и не влечет за собой никаких правовых последствий для Оператора.
14.7. Уведомление субъекта об исполнении заявления
Оператор уведомляет субъекта персональных данных об исполнении заявления об отзыве согласия в течение 15 (пятнадцати) рабочих дней с даты его поступления. Уведомление направляется субъекту персональных данных в той же форме, в которой было получено заявление (письменно по почте либо в электронной форме на адрес электронной почты, указанный в заявлении).