Соглашение на обработку персональных данных

Реквизиты оператора персональных данных

• Наименование: ООО «Точка решений»
• УНП: 193884585
• Юридический адрес: 220070, Беларусь, г. Минск, ул. Ваупшасова, 10, пом. 131
• Телефон: +375 (29) 655-10-10
• Электронная почта: bitrix@avidex.by
• Банковские реквизиты: БИК: ALFABY2X; р/с: BY28ALFA30122H20620010270000 в ЗАО «АЛЬФА-БАНК»

Правовые основания и общие принципы

Обработка персональных данных осуществляется в соответствии с Конституцией Республики Беларусь, Гражданским кодексом, Законом Республики Беларусь от 10.11.2008 №455-З «Об информации, информатизации и защите информации», Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», а также иными нормативными правовыми актами Республики Беларусь и локальными актами ООО «Точка решений». Указанные акты определяют цели, принципы, условия и порядок обработки, меры по обеспечению режима защиты, а также права и обязанности субъектов и операторов/уполномоченных лиц при обработке персональных данных.

При квалификации роли лица как «оператор» или «уполномоченное лицо» применяются единообразные подходы, изложенные в рекомендациях Национального центра защиты персональных данных, учитывающие различие статуса, обязанностей и ответственности, а также необходимость наличия правовых оснований для обработки данных субъектов.

Термины и определения

• Персональные данные: любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту персональных данных).
• Обработка персональных данных: любое действие или совокупность действий с персональными данными (сбор, систематизация, хранение, изменение, использование, предоставление, обезличивание, блокирование, удаление).
• Оператор: ООО «Точка решений» — лицо, самостоятельно или совместно с другими лицами определяющее цели и (или) способы обработки персональных данных, и осуществляющее такую обработку.
• Уполномоченное лицо: лицо, осуществляющее обработку персональных данных по поручению оператора на основании договора или иного правового акта.

Используемые термины соответствуют законодательству Республики Беларусь и применяются в значениях, установленных Законом №99-З и рекомендациями уполномоченного органа.

Цели обработки персональных данных

• Заключение и исполнение договоров: предоставление услуг веб-студии, технической поддержки, обслуживания ИТ-инфраструктуры.
• Коммуникация: обработка обращений, запросов, ведение переписки, уведомления об услугах, изменениях и инцидентах.
• Бухгалтерский и налоговый учет: исполнение требований законодательства по учету и отчетности.
• Информационная безопасность: обеспечение безопасности сервисов, предотвращение несанкционированного доступа, расследование инцидентов.
• Маркетинг и аналитика: поддержание и развитие продуктов и услуг, улучшение пользовательского опыта в рамках законных интересов.
• Кадровые процессы: рассмотрение резюме, ведение кадрового делопроизводства, если применимо.

Цели определяются оператором с соблюдением принципов законности, минимизации, прозрачности и соразмерности, предусмотренных Законом №99-З.

Категории персональных данных

• Идентификационные данные: Ф.И.О., должность, организация, УНП/ИНН (для представителей контрагентов).
• Контактные данные: телефон, e-mail, адрес переписки.
• Договорные и платежные данные: реквизиты договоров, счета, акты, платежная информация, но без хранения банковских карт (если иное не требуется законом).
• Технические данные: IP-адрес, лог-файлы, идентификаторы устройств, данные аутентификации, cookies.
• Кадровые данные: сведения, необходимые для трудовых отношений и подбора персонала.

Обработка специальных категорий данных (например, биометрических, данных о здоровье) не осуществляется, за исключением случаев, прямо предусмотренных законодательством и при наличии соответствующих правовых оснований и мер защиты.

Правовые основания обработки

• Согласие субъекта: свободно выраженное, конкретное, информированное согласие, данное путем совершения однозначного действия (в т.ч. проставления отметки на сайте, направления письма) при необходимости.
• Исполнение договора: обработка необходима для заключения или исполнения договора с субъектом либо его организацией.
• Законные интересы оператора: развитие услуг, обеспечение безопасности, защита прав и законных интересов при соблюдении баланса интересов и прав субъекта.
• Исполнение обязанностей по закону: бухгалтерский, налоговый учет, хранение документов, предоставление информации уполномоченным органам.
• Поручение оператором уполномоченному лицу: обработка по договору поручения на условиях и под контролем оператора.

Отнесение лица к оператору или уполномоченному лицу в каждом конкретном процессе определяется по критериям Закона №99-З и разъяснениям уполномоченного органа.

Источники и способы получения данных

• Непосредственно от субъекта: формы на сайте, электронная почта, телефон, мессенджеры.
• От контрагента субъекта: в части договорного взаимодействия.
• Автоматически: технические данные при использовании сайтов и сервисов (cookies, лог-файлы).

Сбор данных осуществляется прозрачными способами, совместимыми с заявленными целями, с соблюдением принципов минимизации и пропорциональности.

Условия обработки и хранение

• Сроки: персональные данные хранятся не дольше, чем это необходимо для целей обработки, либо в течение сроков, установленных законодательством (учет, отчетность), после чего подлежат удалению или обезличиванию.
• Локации: хранение в информационных системах оператора и/или уполномоченных лиц при наличии договорных гарантий и контролируемого доступа.
• Доступ: ограничивается кругом сотрудников и подрядчиков, которым данные необходимы для исполнения обязанностей.

Сроки и режим хранения устанавливаются локальными актами оператора в соответствии с требованиями законодательства о защите информации и персональных данных.

Передача третьим лицам и уполномоченным лицам

• Контрагенты: передача в пределах целей договора, включая бухгалтерское обслуживание, хостинг, ИТ-поддержку, почтовые сервисы.
• Уполномоченные лица: обработка на основании договора поручения с установлением обязанностей по конфиденциальности, безопасности и соблюдению законодательства.
• Государственные органы: предоставление по законным запросам и в случаях, предусмотренных правом.

Отношения с уполномоченными лицами регулируются письменно, с разграничением ролей, обязанностей и ответственности, как рекомендует уполномоченный орган.

Трансграничная передача

Трансграничная передача персональных данных может осуществляться при необходимости исполнения договора, предоставления услуг или использования облачных/почтовых сервисов, при условии соблюдения требований законодательства Республики Беларусь, наличия достаточных гарантий, информирования субъекта и (при необходимости) получения согласия.

Оператор обеспечивает оценку правовых режимов защиты данных в принимающих юрисдикциях и применяет договорные и организационные меры для защиты данных при трансграничной передаче, исходя из требований Закона №99-З.

Права субъекта персональных данных

• Право на информацию: получать сведения об обработке, целях, категориях, источниках, сроках хранения, получателях.
• Право на доступ: получать копии персональных данных, обрабатываемых оператором.
• Право на исправление: требовать внесения изменений, дополнений, актуализации данных.
• Право на удаление: требовать прекращения обработки и удаления данных при отсутствии правовых оснований для их обработки или по отзыву согласия.
• Право на ограничение: требовать блокирования обработки в предусмотренных законом случаях.
• Право на отзыв согласия: отзывать ранее данное согласие, не затрагивая законность обработки до момента отзыва.
• Право на обращение: подавать обращения оператору и в уполномоченный орган по защите персональных данных.

Реализация прав осуществляется в порядке и в сроки, установленные Законом №99-З и локальными актами оператора; при необходимости оператор запрашивает подтверждающие документы для идентификации субъекта.

Cookies и аналогичные технологии

На сайтах оператора могут использоваться файлы cookies и аналогичные технологии для обеспечения работы сервисов, аутентификации, сохранения настроек, анализа использования и улучшения пользовательского опыта, на основе законных интересов и/или согласия, где это требуется.

Субъект вправе настроить параметры браузера для управления cookies; ограничение использования cookies может повлиять на функциональность сайта. Обработка данных cookies осуществляется в соответствии с принципами минимизации и прозрачности.

Информационная безопасность

• Организационные меры: регламенты доступа, разграничение прав, обучение персонала, контроль подрядчиков.
• Технические меры: используемые средства защиты, резервное копирование, журналы событий, мониторинг инцидентов.
• Конфиденциальность: обязательства сотрудников и подрядчиков по неразглашению.

Политика и меры безопасности формируются оператором в соответствии с законодательством и лучшими практиками, включая разработку локальных документов и процедур, обеспечивающих режим защиты персональных данных.

Действия при инцидентах

При выявлении инцидентов, затрагивающих персональные данные, оператор проводит внутреннее расследование, принимает меры по локализации и устранению последствий, информирует субъектов и/или уполномоченные органы в случаях, предусмотренных законом, и реализует корректирующие меры.

Порядок реагирования определяется локальными актами оператора и согласуется с рекомендациями уполномоченного органа о разграничении ролей и ответственности операторов и уполномоченных лиц.

Порядок заключения и действия Соглашения

• Присоединение: субъект присоединяется к Соглашению путем использования сайта/сервисов, направления данных оператору, проставления отметки согласия или подписания договора, содержащего ссылки на данное Соглашение.
• Срок действия: Соглашение действует до его замены новой редакцией; обработка данных по отдельным основаниям может продолжаться в части, требуемой законом и договорами.
• Изменения: оператор вправе обновлять Соглашение, публикуя новую редакцию на сайте; существенные изменения могут сопровождаться уведомлением субъектов по доступным каналам.

Присоединение осуществляется с учетом требований о прозрачности и информированности субъекта, предусмотренных Законом №99-З.

Контакты для реализации прав и вопросов обработки

• Оператор: ООО «Точка решений», 220070, Беларусь, г. Минск, ул. Ваупшасова, 10, пом. 131
• E-mail: bitrix@avidex.by
• Телефон: +375 (29) 655-10-10

По указанным контактам можно направлять запросы о реализации прав субъекта, уточнении сведений об обработке данных и вопросах конфиденциальности. Оператор рассматривает обращения в сроки, установленные законодательством.

Особые положения о взаимоотношениях с уполномоченными лицами

• Договорные гарантии: оператор заключает письменные договоры поручения с уполномоченными лицами, предусматривающие цели, объем, сроки обработки, меры защиты и порядок возврата/удаления данных.
• Контроль: оператор осуществляет контроль соблюдения требований, включая аудиты/опросы, и принимает меры при выявлении нарушений.
• Ответственность: уполномоченное лицо несет ответственность за несоблюдение договорных обязательств и норм законодательства.

Указанные положения соответствуют подходам, изложенным в рекомендациях уполномоченного органа по разграничению статуса оператора и уполномоченного лица и их обязанностей.

Заключительные положения

Настоящее Соглашение является публичным и применяется ко всем процессам обработки персональных данных, осуществляемым ООО «Точка решений». В случаях, когда отдельные положения противоречат императивным нормам законодательства, применяются нормы законодательства Республики Беларусь.

Оператор формирует и поддерживает локальные акты и политику по защите персональных данных, обеспечивающие соответствие требованиям Закона №99-З и связанных нормативных актов.