ПОЛИТИКА ПО ЗАШИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая Политика Иностранного торгового унитарного предприятия «Бритиш-Американ Тобакко Трейдинг Компани» в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований Закона Республики Беларусь от 07.05.2021г. № 99-З «О защите персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Иностранное торговое унитарное предприятие «Бритиш-Американ Тобакко Трейдинг Компани» (далее – Оператор, Компания).

1.4. Термины и определения:

• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение; использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
• обработка персональных данных без использования средств автоматизации – действия с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным;
• общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
• оператор персональных данных – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
• персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
• пользователь – любой посетитель веб-сайта https://myglo.by/;
• предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://myglo.by/; трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
• удаление персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
• устройство – электронное устройство Пользователя, подключенное к сети Интернет, дающее Пользователю возможность пользования Сайтом. Устройства включают мобильные телефоны (включая смартфоны и коммуникаторы), персональные компьютеры (включая устройства типа «планшет»).

1.4. Посещая сайт Оператора (в том числе заполняя электронный формы на сайте Оператора), Субъект персональных данных соглашается с тем, что ознакомлен с настоящей Политикой, согласен с ее условиями, а также дает свое согласие на обработку персональных данных.

1.5. Компания в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Компанией, извещает представителей Компании об изменении своих персональных данных.

2. Основные права и обязанности Оператора и Субъекта персональных данных

2.1. Оператор имеет право:

1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
2. поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

2.2. Оператор обязан:

1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2. отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
3. сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
4. исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.

2.3. Субъект персональных данных имеет право:

1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2. требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
3. получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
4. в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
5. требовать от Оператора блокирования или удаления его персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
6. обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

2.3. Ответственность за нарушение требований законодательства Республики Беларусь и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.

3. Цели сбора персональных данных

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.2. До получения согласия лица на обработку его персональных данных Компания предоставляет лицу сведения о целях обработки персональных данных.

3.3. Обработка Оператором персональных данных осуществляется в следующих целях:

• обеспечение соблюдения законодательства Республики Беларусь;
• осуществление гражданско-правовых отношений;
• сбора информации через формы обратной связи, опросы, информационно-рекламные сессии, маркетинговые исследования, администрирования сайта Компании;
• защиты интересов Субъектов и Компании, обеспечения соблюдения законодательства Республики Беларусь.

3.4. Обработка персональных данных лиц, принимающих участие в информационно-рекламных сессиях и/или маркетинговых исследованиях, проводимых Компанией или третьими лицами, осуществляется, как правило, в целях: доведения информации о продаваемых Компанией товарах; изучения потребительского спроса на товары Компании; получения информации о потребительских свойствах товаров, продаваемых Компанией; осуществления маркетинговой деятельности и продвижения товаров Компании допустимыми в соответствии с действующим законодательством Республики Беларусь способами; изучения рынка.

3.5. Обработка персональных данных лиц, осуществляющих регистрацию на интернет-сайтах Компании, осуществляется, как правило, в целях: подтверждения возраста посетителя интернет-сайта Компании; идентификации посетителя интернет-сайта Компании; создания учетной записи; формирования информационной базы данных потребителей товаров Компании; предоставления информации о товарах Компании; проведения опросов и исследований; информирования о мероприятиях, программах и деятельности Компании.

3.6. Компания может осуществлять обработку персональных данных в иных целях, прямо не предусмотренных настоящей Политикой. Точные цели обработки персональных данных сообщаются Компанией лицу до дачи его согласия на обработку персональных данных.

3.7. Компания может осуществлять обработку персональных данных в иных целях, прямо не предусмотренных настоящим Положением. Точные цели обработки персональных данных сообщаются Компанией лицу до дачи его согласия на обработку персональных данных.

3.8. В случае необходимости изменения первоначально заявленных целей обработки персональных данных Компания обязана получить согласие лица на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательством Республики Беларусь.

4. Объем и категории обрабатываемых персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Оператор может обрабатывать перечисленные персональные данные следующих субъектов персональных данных: физические лица, предоставившие Компании персональные данные в процессе регистрации продления (проверки срока) гарантии системы для потребления табака, а также в процессе пользования Сайтом:

• фамилия, имя;
• дата рождения;
• электронная почта;
• адрес электронной почты;
• контактный номер телефона;
• данные, которые автоматически передаются устройством субъекта персональных данных, с помощью которого используются Сайт Компании, в том числе технические характеристики устройства, IP-адрес;
• иные персональные данные, сообщаемые субъектом при использовании Сайта, в иных случаях, на обработку которых Компании дано согласие в соответствии с требованиями законодательства Республики Беларусь.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.

5.2. Обработка персональных данных осуществляется с согласия Субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.

5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.4. Обработка персональных данных осуществляется путем: 

• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• внесения персональных данных в информационные системы Оператора;
• использования иных способов обработки персональных данных.

5.5. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• определяет угрозы безопасности персональных данных при их обработке;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.

6. Хранение и передача персональных данных

6.1. Хранение персональных данных осуществляется Компанией в форме, позволяющей идентифицировать Субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных. Точный срок хранения персональных данных в каждом случае определяется в согласии лица на обработку его персональных данных.

6.2. Хранение персональных данных осуществляется, как правило, с использованием средств автоматизации. В отдельных случаях допускается хранение персональных данных без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).

6.3. Передача персональных данных третьим лицам осуществляется на основании договора, в котором определяются цели обработки персональных данных третьим лицом, перечень действий, которые будут совершаться с персональными данными, обязанности по соблюдению конфиденциальности персональных данных, меры по обеспечению защиты персональных данных.

6.4. Компания, являясь частью Группы компаний и ее информационной среды, может осуществлять трансграничную передачу персональных данных. Трансграничная передача персональных данных осуществляется Компанией на основании согласия лица об обработке его персональных данных и исключительно в целях, указанных в данном согласии.

6.5. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат удалению, если иное не предусмотрено другим соглашением между Оператором и Субъектом персональных данных или законодательством.

7. Обеспечение безопасности персональных данных 

7.1. Компания принимает разумные технические (безопасное хранение информации, предварительная авторизация и др.) и организационные (ограничение доступа к информации по кругу лиц, обучение сотрудников, имеющих доступ к информации и др.) меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Доступ к персональным данным лиц предоставляется только работникам, в обязанности которых входит работа с персональными данными. Любая третья сторона, которой передаются персональные данные, также обязана предпринять разумные технические и организационные меры безопасности с целью защиты персональных данных.

7.3. Комплекс мероприятий и технических средств по обеспечению безопасности персональных данных в Компании формулируется с учетом результатов оценки возможного вреда субъекту персональных данных, который может быть нанесен в случае нарушения безопасности его персональных данных, актуальности угроз безопасности персональных данных, а также установления уровня защищенности персональных данных.

8. Заключительные положения 

8.1. Настоящая Политика является общедоступной и подлежит размещению на Сайте.

8.2. Ответственность за нарушение требований законодательства Республики Беларусь в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.

8.3. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.

8.4. В случае, если какое-либо положение Политики признается противоречащим законодательству Республики Беларусь, остальные положения, соответствующие законодательству Республики Беларусь, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству Республики Беларусь.

8.5. Оператор оставляет за собой право периодически изменять и/или дополнять условия настоящей Политики без предварительного и/или последующего уведомления субъектов персональных данных. Действующая редакция Политика находится в свободном доступе в информационно-телекоммуникационной сети Интернет на Сайте Оператора.

8.6. Лица, чьи персональные данные обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих персональных данных, направив соответствующий письменный запрос по адресу: ул. Академика Купревича, 3, 7 этаж, 220141, г. Минск, Республика Беларусь либо на адрес электронной почты: info@myglo.by.