1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика ООО «Картотека» в отношении обработки персональных данных заказчиков услуг (далее – Политика) разработана в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных) и иными актами законодательства Республики Беларусь, а также Уставом ООО «Картотека» в целях обеспечения защиты прав и свобод человека при обработке его персональных данных. Политика разъясняет субъектам персональных данных, каким образом и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
1.2. Политика является локальным правовым актом ООО «Картотека» (далее – Оператор или Предприятие), регламентирующим отношения, связанные с защитой персональных данных заказчиков услуг при их обработке, осуществляемой с использованием средств автоматизации в веб-сервисе aibox.by
1.3. Предприятие уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных. Обработка персональных данных Предприятием как Оператором осуществляется в соответствии с Законом о защите персональных данных и настоящей Политикой.
1.4. Действие Политики не распространяется:
на обработку персональных данных работников, соискателей на трудоустройство, лиц, обратившихся в ООО «Картотека» в порядке законодательства Республики Беларусь об обращении граждан и юридических лиц, контрагентов, представителей контрагентов;
на обработку файлов куки.
1.5. В Политике используются основные термины и их определения в значении, определенном статьей 1 Закона о защите персональных данных.
1.6. В Политике также используются следующие понятия в значении:
сайт Предприятия / веб-сервис aibox.by – интернет ресурс Предприятия по адресу: https://aibox.by предоставляющий доступ к использованию нейросетевых моделей;
заказчик услуг / заказчик – физическое лицо – представитель юридического лица, индивидуальный предприниматель, иное физическое лицо, имеющее намерение заключить, или заключившее, или получающее, или получившее ранее услуги посредством веб-сервиса aibox.byна основании Публичного договора на оказание услуг веб-сервисом aibox.by (далее – Публичный договор);
индивидуальный предприниматель – физическое лицо – индивидуальный предприниматель как субъект персональных данных, в отношении которого Предприятием как Оператором осуществляются обработка (в т.ч. сбор, систематизация, хранение) персональных данных;
работник – физическое лицо, состоящее в трудовых отношениях с Предприятием на основании заключенного трудового договора (контракта);
субъекты персональных данных – заказчики услуг, на которых распространяется действие настоящей Политики;
сайт Предприятия ‑ aibox.by
обработка персональных данных – сбор, хранение, использование, систематизация, удаление данных субъектов персональных данных.
1.7. Юридическим лицом, которое осуществляет обработку персональных данных, является ООО «Картотека», юридический и почтовый адрес: 220092, г. Минск, ул. Болеслава Берута, 3Б, офис 212 (Предприятие / Оператор).
1.8. Политика вступает в силу с момента утверждения и действует в отношении всех персональных данных, которые обрабатывает Предприятие.
1.9. Во исполнение требований пункта 4 статьи 17 Закона о защите персональных данных Политика является общедоступным документом, размещается для свободного доступа на Предприятии, а также в сети Интернет на сайте Предприятия и предусматривает возможность ознакомления с Политикой любых лиц.
1.10. Предприятие как Оператор вправе при необходимости в одностороннем порядке вносить в Политику изменения и дополнения с последующим размещением новой редакции Политики в общедоступном месте на Предприятии и на сайте Предприятия. Субъекты персональных данных самостоятельно получают на сайте Предприятия информацию об изменениях Политики.
2. ЦЕЛИ, ОБЪЕМ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Цели обработки персональных данных на Предприятии основываются на осуществляемой Предприятием деятельности по предоставлению доступа к ресурсам Предприятия, реализуемых в связи с этим бизнес- и иных процессах.
2.2. Предприятие осуществляет обработку персональных данных субъектов в целях, объеме (перечне), на правовых основаниях и в сроки, определенные в Реестрах обработки персональных данных заказчиков услуг (приложения к настоящей Политике, далее – Реестры обработки персональных данных), которые являются неотъемлемой частью Политики.
2.3. Предприятие не осуществляет обработку специальных персональных данных заказчиков услуг.
3. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ
3.1. Обработка персональных данных заказчиков услуг осуществляется Предприятием как Оператором с согласия субъекта персональных данных, за исключением случаев, предусмотренных статьей 6 Закона о защите персональных данных и иными законодательными актами, то есть при наличии иных правовых оснований обработки (перечислены в Реестре обработки персональных данных заказчиков – приложении к настоящей Политике).
3.2. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает Предприятию обработку своих персональных данных.
3.3. Согласие предоставляется Предприятию субъектом в электронной форме раздельно на не связанные между собой цели обработки персональных данных путем проставления соответствующей отметки на сайте Предприятия. До получения согласия Предприятие предоставляет субъекту персональных данных информацию, предусмотренную пунктом 5 статьи 5 Закона о защите персональных данных, отдельно от иной предоставляемой ему информации.
3.4. Согласие может быть отозвано субъектом в электронной форме на сайте Предприятия.
3.5. Предприятие вправе поручить обработку персональных данных уполномоченному лицу на основании договора, при этом: уполномоченное лицо обязано соблюдать требования к обработке персональных данных, предусмотренные Законом о защите персональных данных и иными актами законодательства; ответственность перед субъектом персональных данных за действия уполномоченного лица несет Предприятие как Оператор; уполномоченное лицо несет ответственность перед Предприятием как Оператором.
3.6. Уполномоченные лица, осуществляющие по поручению Оператора обработку персональных данных:
ООО «Яндекс» (г. Москва, ул. Льва Толстого, д. 16, 119021) – Яндекс Метрика – сервис веб-аналитики в целях сбора и показа аналитики;
Google Ireland Ltd (Gordon House Barrow Street Dublin 4, D04E5W5, Ирландия) – Google рекламная сеть и сервис веб-аналитики в целях показа контекстной рекламы;
Facebook Technologies Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, D02X525, Ирландия) – в целях показа рекламных объявлений при помощи приложения Facebook Pixel;
юридическое лицо (индивидуальный предприниматель), оказывающее (оказывающий) Оператору бухгалтерские услуги (Республика Беларусь);
ООО «КвиДокс» (220092, г. Минск, ул. Берута 3Б, пом.615) – в целях хранения и предоставления заказчикам актов оказанных услуг, выставленных Предприятием единолично и подписанных электронной цифровой подписью;
ООО «1С-Битрикс» (109544, г. Москва, б-р Энтузиастов, д. 2, 13 этаж) – в целях систематизации информации о клиенте и сопровождения сделки с заказчиком.
3.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
3.8. Передача персональных данных государственным органам и организациям, в том числе правоохранительным органам и судам, а также иным организациям и учреждениям осуществляется в соответствии с требованиями законодательства Республики Беларусь (с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами (при наличии иных правовых оснований обработки)).
3.9. Трансграничная передача персональных данных может осуществляться Предприятием на территорию Российской Федерации, Ирландии, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, при наличии правовых оснований, предусмотренных Законом о защите персональных данных. На территории иностранных государств, в которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, Предприятие трансграничную передачу персональных данных не осуществляет.
3.10. Обработка персональных данных прекращается при наступлении одного или нескольких из указанных событий (если отсутствуют иные правовые основания для обработки, предусмотренные Законом о защите персональных данных и иными законодательными актами):
поступление от субъекта персональных данных в установленном порядке отзыва согласия на обработку его персональных данных;
поступление от субъекта персональных данных в установленном порядке требования о прекращении обработки его персональных данных и (или) их удалении;
достижение целей обработки персональных данных;
истечение срока действия согласия субъекта персональных данных;
истечение срока хранения персональных данных;
обнаружение неправомерной обработки персональных данных;
по требованию НЦЗПД;
ликвидация Предприятия.
3.11. Хранение персональных данных осуществляется Оператором в соответствии с требованиями законодательства о защите персональных данных в течение сроков хранения, определенных в Реестрах обработки персональных данных, при этом:
документы на бумажных и иных материальных носителях, содержащие персональные данные, хранятся помещениях и местах, позволяющих исключить к ним доступ посторонних лиц;
документы в электронной форме, содержащие персональные данные, хранятся на жёстком диске компьютеров, на иных носителях компьютерной информации, принадлежащих Предприятию, в локальной компьютерной сети Предприятия с обязательным использованием паролей доступа и разграничением доступа;
документы в электронной форме, содержащие персональные данные, хранятся в облачном хранилище hoster.by, защита которого обеспечивается собственником данного интернет-ресурса ООО «Надежные программы», с использованием паролей доступа.
3.12. Документы на бумажных и иных материальных носителях, содержащие персональные данные, а также персональные данные в электронной форме после прекращения обработки персональных данных уничтожаются / удаляются в соответствии с требованиями законодательства о защите персональных данных, иными актами законодательства и локальными правовыми актами Предприятия, что подтверждается актом об уничтожении / удалении персональных данных.
4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И МЕХАНИЗМ ИХ РЕАЛИЗАЦИИ
4.1. Субъект персональных данных имеет право:
4.1.1. в любое время без объяснения причин отозвать свое согласие на обработку персональных данных; согласие может быть отозвано субъектом в электронной форме на сайте Предприятия;
4.1.2. требовать бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами;
4.1.3. получать информацию, касающуюся обработки своих персональных данных (при этом не должен обосновывать свой интерес к запрашиваемой информации), содержащую:
наименование и место нахождения Предприятия;
подтверждение факта обработки персональных данных Предприятием (уполномоченным им лицом);
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие;
наименование и место нахождения уполномоченного лица, которое является государственным органом, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством;
4.1.4. требовать внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными (с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные);
4.1.5. получать информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.
4.1.6. Субъект персональных данных также имеет право обжаловать действия (бездействие) и принятые Предприятием решения, нарушающие его права при обработке персональных данных, в Национальный центр защиты персональных данных (НЦЗПД) как уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц; принятое НЦЗПД по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.
4.2. Субъект персональных данных для реализации прав, предусмотренных статьями 11–13 Закона о защите персональных данных и подпунктами 4.1.2–4.1.5 Политики, подает на Предприятие заявление в письменной форме, оформленное в соответствии со статьей 14 Закона о защите персональных данных, на почтовый адрес: 220092, г. Минск, ул. Болеслава Берута, 3Б, офис 212, ООО «Картотека». Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления Оператору в письменной форме.
4.3. Заявление субъекта персональных данных о реализации его прав должно содержать: его персональные данные – фамилию, собственное имя, отчество (если таковое имеется), адрес его места жительства (места пребывания), дату рождения, идентификационный номер (при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных); изложение сути его требований; его личную подпись либо электронную цифровую подпись.
4.4. Ответ на заявление субъекта персональных данных о реализации его прав, предусмотренных пунктом 4.1. Политики, направляется субъекту персональных данных в письменной форме.
4.5. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных на Предприятии, в том числе направив сообщение на электронный адрес: info@kartoteka.by или обратившись по тел.: +375291738317
Приложения:
1. Реестр обработки персональных данных (субъект персональных данных – заказчики услуг)
Приложение 1
к Политике в отношении обработки персональных данных
заказчиков информационных услуг
РЕЕСТР
обработки персональных данных
(субъект персональных данных – заказчики информационных услуг)
Цели обработки персональных данных | Перечень обрабатываемых персональных данных | Перечень действий с персональными данными | Правовые основания обработки персональных данных | Срок хранения персональных данных |
Регистрация заказчика / потенциального заказчика на сайте aibox.by (далее – сайт) для пользования личным кабинетом и сайтом на основании Публичного договора на оказание услуг | фамилия, имя, отчество, адрес электронной почты, номер телефона | сбор, систематизация, хранение, использование (в том числе для обратной связи с субъектом), удаление / блокирование | без согласия субъекта: абз. 15 ст. 6 Закона Республики Беларусь «О защите персональных данных» (далее – Закон) - Публичный договор на оказание услуг веб-сервисом aibox.by(далее – Публичный договор) | 3 года с момента последней активности пользователя на сайте |
Заключение, исполнение (в том числе пользование личным кабинетом, предоставление информационных услуг), изменение, расторжение договора | фамилия, имя, отчество, адрес электронной почты, номер телефона, правовой статус, пароль | сбор, систематизация, хранение, использование (в т.ч. для обратной связи с субъектом), удаление / блокирование | без согласия субъекта: абз. 15 ст. 6 Закона - Публичный договор | 3 года с момента последней активности пользователя на сайте |
Письменное обращение заказчика / потенциального заказчика на сайте для получения обратной связи в рамках заключенного договора / с целью возможного заключения договора | фамилия, имя, отчество, адрес электронной почты, иные сведения, сообщенные субъектом при обращении | сбор, систематизация, хранение, использование (в том числе для обратной связи с субъектом), удаление / блокирование | без согласия субъекта: абз. 15 ст. 6 Закона - Публичный договор | 3 года с момента последней активности пользователя на сайте |
Заказ звонка заказчиком / потенциальным заказчиком на сайте для получения обратной связи в рамках заключенного договора / с целью возможного заключения договора | номер телефона, иные сведения, сообщенные субъектом при обращении | сбор, систематизация, хранение, использование (в том числе для обратной связи с субъектом), удаление / блокирование | без согласия субъекта: абз. 15 ст. 6 Закона - Публичный договор | 3 года с момента последней активности пользователя на сайте |
Перечисление заказчиком денежных средств Предприятию в качестве оплаты за услуги | Фамилия, имя, отчество плательщика, УНП (для индивидуального предпринимателя), сведения, предоставляемые при оплате банковской картой, путем безналичного расчета, в системе ЕРИП | сбор, систематизация, хранение, использование, удаление | без согласия субъекта: абз. 15 ст. 6 Закона - Публичный договор | 3 года после окончания срока действия договора и проведения налоговыми органами проверки соблюдения налогового законодательства. Если такая проверка не проводилась – 10 лет после окончания срока действия договора (п. 70 Перечня типовых документов … (утв. постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140 (далее – Перечень)) |
Формирование и ведение базы данных заказчиков | фамилия, имя, отчество, адрес электронной почты, номер телефона, правовой статус, пароль | сбор, систематизация, хранение, использование, удаление / блокирование | Согласие субъекта | 5 лет |
Исполнение запросов НЦЗПД, связанных с обработкой персональных данных Оператором | в соответствии с содержанием запроса НЦЗПД | сбор, систематизация, хранение, предоставление НЦЗПД, удаление | без согласия субъекта: абз. 20 ст. 6 Закона - ст. 16, 18 Закона о защите персональных данных - п. 8, 26 Положения о Национальном центре защиты персональных данных (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422) | 3 года |
На основании заключенных договоров, ООО «Картотека» поручает обработку персональных
данных клиентов ООО «Картотека», осуществляющих заказ услуг AiBox.by следующим уполномоченным лицам (далее - УЛ):
Наименование УЛ, УНП | Место нахождения УЛ | Цель обработки персональных данных | Перечень обрабатываемых персональных данных | Перечень действий УЛ по обработке персональных данных | Срок обработки |
ООО «ИКомЧардж»* УНП 191670289 | Республика Беларусь, г. Минск, пр. Дзержинского, 104, офис 1801 | Обеспечение технической возможности проведения платежей с использованием банковских пластиковых карточек | Фамилия и имя держателя карточки, номер банковской карточки, CVC/CVV, адрес электронной почты, ID-заказа | сбор, систематизация, хранение, использование, предоставление, удаление персональных данных | 5 лет с момента осуществления платежа |