3. Правы і абавязкі суб'ектаў персанальных дадзеных
3.1. Суб'ект персанальных дадзеных мае права:
3.1.1. на адкліканне сваёй згоды, калі для апрацоўцы персанальных дадзеных Таварыства звярталася да суб'екта персанальных дадзеных для атрымання згоды. Права на адкліканне згоды не можа быць рэалізавана ў выпадку, калі апрацоўка ажыццяўляецца на іншых прававых падставах (у прыватнасці, у адпаведнасці з патрабаваннямі заканадаўства або на падставе дагавора);
3.1.2. на атрыманне інфармацыі, якая датычыцца апрацоўцы сваіх персанальных дадзеных Таварыствам, якая змяшчае:
месца знаходжання Таварыства;
пацвярджэнне факта апрацоўцы Таварыствам персанальных дадзеных асобы, якая звярнулася;
яго персанальныя дадзеныя і крыніцы іх атрымання;
прававыя падставы і мэты апрацоўцы персанальных дадзеных;
тэрмін, на які дадзена згода (калі апрацоўка персанальных дадзеных ажыццяўляецца на падставе згоды);
назва і месца знаходжання ўпаўнаважанай асобы (упаўнаважаных асоб);
іншую інфармацыю, прадугледжаную заканадаўствам;
3.1.3. патрабаваць ад Таварыства ўнясення змяненняў у свае персанальныя дадзеныя ў выпадку, калі персанальныя дадзеныя з'яўляюцца няпоўнымі, састарэлымі ці недакладнымі. У гэтых мэтах суб'ект персанальных дадзеных прыкладае адпаведныя дакументы і (або) іх завераныя ва ўстаноўленым парадку копіі, якія пацвярджаюць неабходнасць унясення змяненняў у персанальныя дадзеныя;
3.1.4. на атрыманне ад Таварыства інфармацыі аб прадастаўленні сваіх персанальных дадзеных, якія апрацоўваюцца Таварыствам, трэцім асобам адзін раз у каляндарны год бясплатна, калі іншае не прадугледжана Законам і іншымі заканадаўчымі актамі;
3.1.5. патрабаваць ад Таварыства бясплатнага спынення апрацоўцы сваіх персанальных дадзеных, уключаючы іх выдаленне, пры адсутнасці падстаў для апрацоўцы персанальных дадзеных, прадугледжаных Законам і іншымі заканадаўчымі актамі;
3.1.6. на абскарджанне дзеянняў (бяздзеяння) і рашэнняў Таварыства, якія парушаюць яго правы пры апрацоўцы персанальных дадзеных, у парадку, устаноўленым заканадаўствам. У прыватнасці, суб'ект персанальных дадзеных мае права абскардзіць дзеянні (бяздзеянне) і рашэнні Аператара, якія парушаюць яго правы пры апрацоўцы персанальных дадзеных, у Нацыянальны цэнтр абароны персанальных дадзеных Рэспублікі Беларусь у парадку, устаноўленым заканадаўствам аб зваротах грамадзян.
3.2. Рэалізацыя правоў, прадугледжаных п. 3.1, ажыццяўляецца суб'ектам персанальных дадзеных на падставе заявы ў пісьмовай форме або ў выглядзе электроннага дакумента, калі заканадаўчымі актамі не прадугледжана абавязковасць асабістай прысутнасці суб'екта персанальных дадзеных і прад'яўлення дакумента, які сведчыць асобу, пры падачы ім заявы ў пісьмовай форме.
Таварыства не разглядае заявы суб'ектаў персанальных дадзеных, накіраваныя іншымі спосабамі (тэлефон, факс і г.д.).
Заява суб'екта персанальных дадзеных павінна змяшчаць:
прозвішча, уласнае імя, імя па бацьку (калі такое ёсць) суб'екта персанальных дадзеных, адрас яго месца жыхарства (месца знаходжання);
дату нараджэння суб'екта персанальных дадзеных;
ідэнтыфікацыйны нумар суб'екта персанальных дадзеных, пры адсутнасці такога нумара - нумар дакумента, які сведчыць асобу суб'екта персанальных дадзеных, у выпадках, калі гэта інфармацыя ўказвалася суб'ектам персанальных дадзеных пры дачы сваёй згоды Аператару або апрацоўка персанальных дадзеных ажыццяўляецца без згоды суб'екта персанальных дадзеных;
выклад сутнасці патрабаванняў суб'екта персанальных дадзеных;
асабісты подпіс (для заявы ў пісьмовай форме) або электронны лічбавы подпіс (для заявы ў выглядзе электроннага дакумента) суб'екта персанальных дадзеных.
Для адказу на запыты суб'екта персанальных дадзеных Таварыства можа запытаць дадатковую інфармацыю, якая пацвярджае ўдзел суб'екта персанальных дадзеных у адносінах з Таварыствам (нумар дагавора, дата заключэння, іншыя звесткі), або звесткі, якія іншым чынам пацвярджаюць факт апрацоўцы персанальных дадзеных Таварыствам.
3.3. Да садзейнічання ў рэалізацыі правоў, звязаных з апрацоўкай Таварыствам персанальных дадзеных, суб'ект персанальных дадзеных можа звярнуцца да асобы, адказнай за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных дадзеных у Таварыстве, накіраваўшы паведамленне на электронны адрас info@daichi-belarus.by з абавязковай паметкай «Апрацоўка персанальных дадзеных».
3.4. Суб'ект персанальных дадзеных абавязаны:
3.4.1. прадастаўляць дакладныя персанальныя дадзеныя;
3.4.2. своечасова паведамляць Таварыству аб змяненнях і дапаўненнях сваіх персанальных дадзеных, калі гэта неабходна для карэктнай апрацоўцы (выкарыстання) персанальных дадзеных;
3.4.3. ажыццяўляць свае правы, не злоўжываючы імі, у адпаведнасці з заканадаўствам Рэспублікі Беларусь і лакальнымі прававымі актамі Таварыства ў сферы апрацоўцы і абароны персанальных дадзеных;
3.4.4. выконваць іншыя абавязкі, прадугледжаныя заканадаўствам Рэспублікі Беларусь у сферы апрацоўцы і абароны персанальных дадзеных.
4. Таварыства пры ажыццяўленні апрацоўцы персанальных дадзеных:
4.1. прымае меры, неабходныя і дастатковыя для забеспячэння выканання патрабаванняў заканадаўства Рэспублікі Беларусь і лакальных прававых актаў Таварыства ў сферы абароны правоў суб'ектаў персанальных дадзеных;
4.2. прымае прававыя, арганізацыйныя і тэхнічныя меры для абароны персанальных дадзеных ад неправамернага або выпадковага доступу да іх, знішчэння, змянення, блакіравання, капіравання, прадастаўлення, распаўсюджвання персанальных дадзеных, а таксама ад іншых неправамерных дзеянняў у адносінах да персанальных дадзеных;
4.3. прызначае асобу, адказную за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных дадзеных;
4.4. ажыццяўляе азнаямленне работнікаў Таварыства, якія непасрэдна ажыццяўляюць апрацоўку персанальных дадзеных, з палажэннямі заканадаўства Рэспублікі Беларусь і лакальных прававых актаў Таварыства ў галіне персанальных дадзеных, у тым ліку з патрабаваннямі да абароны персанальных дадзеных, і навучанне ўказаных работнікаў;
4.5. паведамляе ва ўстаноўленым парадку суб'ектам персанальных дадзеных або іх прадстаўнікам інфармацыю аб наяўнасці персанальных дадзеных, якія адносяцца да адпаведных суб'ектаў, дае магчымасць азнаямлення з гэтымі персанальнымі дадзенымі пры звароце і (або) паступленні запытаў названых суб'ектаў персанальных дадзеных або іх прадстаўнікоў, калі іншае не ўстаноўлена заканадаўствам Рэспублікі Беларусь;
4.6. уносіць змяненні ў персанальныя дадзеныя, якія з'яўляюцца няпоўнымі, састарэлымі або недакладнымі, за выключэннем выпадкаў, калі іншы парадак унясення змяненняў у персанальныя дадзеныя ўстаноўлены заканадаўчымі актамі або калі мэты апрацоўцы персанальных дадзеных не прадугледжваюць наступных змяненняў такіх дадзеных;
4.7. спыняе апрацоўку і знішчае персанальныя дадзеныя ў выпадках, прадугледжаных заканадаўствам Рэспублікі Беларусь у галіне персанальных дадзеных; знішчае персанальныя дадзеныя ў выпадку адклікання згоды на апрацоўку персанальных дадзеных;
4.8. здзяйсняе іншыя дзеянні, прадугледжаныя заканадаўствам Рэспублікі Беларусь у галіне апрацоўцы і абароны персанальных дадзеных.
5. Умовы і спосабы апрацоўкі персанальных даных. упаўнаважаныя асобы. трансмежавая перадача персанальных дадзеных
5.1. Апрацоўка персанальных дадзеных у Таварыстве ажыццяўляецца са згоды суб'екта персанальных дадзеных на апрацоўку яго персанальных дадзеных, калі іншае не прадугледжана заканадаўствам Рэспублікі Беларусь у сферы рэгулявання апрацоўцы і аховы персанальных дадзеных.
5.2. Таварыства не раскрывае трэцім асобам і не распаўсюджвае персанальныя дадзеныя без згоды суб'екта персанальных дадзеных, за выключэннем наступных выпадкаў:
5.2.1. інфармацыя размешчана суб'ектам персанальных дадзеных у адкрытым доступе самастойна;
5.2.2. перадача дадзеных прама дазволена суб'ектам персанальных дадзеных;
5.2.3. па патрабаванні дзяржаўных органаў у выпадках і парадку, прадугледжаных дзеючым заканадаўствам;
5.2.4. у іншых выпадках у адпаведнасці з прымянімым заканадаўствам.
5.3. Згода можа быць атрымана ў пісьмовай форме, у выглядзе электроннага дакумента або ў іншай электроннай форме. У іншай электроннай форме згода суб'екта персанальных дадзеных можа быць атрымана пры дапамозе: указання (выбару) суб'ектам персанальных дадзеных пэўнай інфармацыі (кода) пасля атрымання CMC-паведамлення, паведамлення на адрас электроннай пошты; прастаўлення суб'ектам персанальных дадзеных адпаведнай адзнакі на Інтэрнэт-рэсурсе; іншых спосабаў, якія дазваляюць устанавіць факт атрымання згоды суб'екта персанальных дадзеных. Згода можа быць дадзена прадстаўніком (законным прадстаўніком) суб'екта, пры прадастаўленні ім доказаў сваіх паўнамоцтваў.
5.4. Для дасягнення названых у п. 2.3 мэт апрацоўваныя персанальныя дадзеныя могуць быць прадастаўлены Таварыствам у прыватнасці:
ТАА «Даічы» (Daichi) (РФ) (на падставе стандартных дагаворных палажэнняў);
пастаўшчыкам паслуг у сувязі з абслугоўваннем Таварыства (у тым ліку прадастаўленнем яму аўдытарскіх паслуг) і яго вэб-сайта (уключаючы вэб-хостынг), прадастаўленнем паслуг, звязаных з тэхналогіямі апрацоўцы і аўтарызацыі плацяжоў, адпраўкі і дыстрыбуцыі прадукцыі, якая пастаўляецца, вяртання прадукцыі і распаўсюджваннем інфармацыйных / рэкламных матэрыялаў;
трэцім асобам у сувязі з карпаратыўнай рэструктурызацыяй, у тым ліку продажам або пераўступцы актываў, рэарганізацыяй Таварыства.
5.5. Таварыства мае права даручыць апрацоўку персанальных дадзеных ад імя Таварыства або ў яго інтарэсах упаўнаважанай асобе на падставе дагавора, які заключаецца з гэтай асобай. Дагавор павінен змяшчаць:
мэты апрацоўцы персанальных дадзеных;
пералік дзеянняў, якія могуць здзяйсняцца з персанальнымі дадзенымі ўпаўнаважанай асобай;
абавязкі па выкананні канфідэнцыйнасці персанальных дадзеных;
меры па забеспячэнні абароны персанальных дадзеных у адпаведнасці з арт. 17 Закона.
Калі для апрацоўцы персанальных дадзеных неабходна атрыманне згоды суб'екта персанальных дадзеных, такую згоду атрымлівае Таварыства.
Пералік упаўнаважаных асоб, якія апрацоўваюць персанальныя дадзеныя па даручэнні Таварыства (далей - Пералік), а таксама змены ў яго зацвярджаюцца загадам дырэктара Таварыства. Кантроль за падтрыманнем Пераліку ў актуальным стане ажыццяўляецца спецыялістам па ўнутраным кантролі за апрацоўкай персанальных дадзеных.
5.6. Апрацоўка персанальных дадзеных у Таварыстве ажыццяўляецца наступнымі спосабамі:
5.6.1. з выкарыстаннем сродкаў аўтаматызацыі, у тым ліку відэаназірання, якое ажыццяўляецца ў аўтаматычным рэжыме на ўваходзе ў офісныя памяшканні Таварыства з выкарыстаннем сістэмы відэадамафона, інтэграванай з сістэмай кантролю і кіравання доступам (СККД);
5.6.2. без выкарыстання сродкаў аўтаматызацыі, калі пры гэтым забяспечваюцца пошук персанальных дадзеных і (або) доступ да іх па пэўных крытэрыях (картатэкі, спісы, базы дадзеных, часопісы і інш.);
5.6.3. змешаная апрацоўка персанальных дадзеных.
Відэаназіранне вядзецца бесперапынна ў аўтаматычным рэжыме ў мэтах забеспячэння бяспекі, фіксацыі праходу і аховы маёмасці. Суб'екты персанальных дадзеных паведамляюцца пра вядзенне відэаназірання праз размяшчэнне інфармацыйных таблічак (знакаў) перад зонамі агляду відэакамер. У зону агляду камер могуць фрагментарна трапляць тэрыторыі агульнага карыстання, прылеглыя да ўваходу ў офіс. Апрацоўка відарысаў асоб, якія не з'яўляюцца работнікамі або наведвальнікамі Таварыства і выпадкова трапілі ў зону відэаназірання, адмыслова не ажыццяўляецца, мэты ідэнтыфікацыі дадзеных асоб Таварыствам не пераследуюцца.
5.7. Да апрацоўцы персанальных дадзеных дапускаюцца работнікі Таварыства, у службовыя абавязкі якіх уваходзіць апрацоўка персанальных дадзеных, або трэція асобы (упаўнаважаныя асобы) на падставе дагавора.
5.8. Таварыства можа ажыццяўляць трансмежную перадачу персанальных дадзеных, у тым ліку ў выпадках, прадугледжаных п. 5.4 Палітыкі.
Трансмежная перадача персанальных дадзеных на тэрыторыю замежнай дзяржавы можа ажыццяўляцца Таварыствам, калі:
5.8.1. на тэрыторыі замежнай дзяржавы забяспечваецца належны ўзровень абароны правоў суб'ектаў персанальных дадзеных без абмежаванняў пры наяўнасці прававых падстаў, прадугледжаных Законам;
5.8.2. на тэрыторыі замежнай дзяржавы не забяспечваецца належны ўзровень абароны правоў суб'ектаў персанальных дадзеных - у выпадках, прадугледжаных артыкулам 9 Закона, у тым ліку:
а) дадзена згода суб'екта персанальных дадзеных пры ўмове, што суб'ект персанальных дадзеных праінфармаваны аб рызыках, якія ўзнікаюць у сувязі з адсутнасцю належнага ўзроўню іх абароны;
б) персанальныя дадзеныя атрыманы на падставе дагавора, заключанага (які заключаецца) з суб'ектам персанальных дадзеных, у мэтах здзяйснення дзеянняў, устаноўленых гэтым дагаворам;
в) атрыманы адпаведны дазвол Нацыянальнага цэнтра абароны персанальных дадзеных Рэспублікі Беларусь (НЦАПД);
г) апрацоўка персанальных дадзеных з'яўляецца неабходнай для выканання абавязкаў (паўнамоцтваў), прадугледжаных заканадаўчымі актамі.
5.9. Пры адсутнасці падстаў і ўмоў, прадугледжаных п. 5.8 гэтай Палітыкі, трансмежная перадача персанальных дадзеных забаронена. Асоба, упаўнаважаная Таварыствам на апрацоўку персанальных дадзеных, перад перадачай персанальных дадзеных на тэрыторыю замежнай дзяржавы абавязана пераканацца ў выкананні вышэйпаказанах умоў.
5.10. Апрацоўка персанальных дадзеных спыняецца пры надыходзе адной або некалькіх з названых абставін:
5.10.1. паступленні ад суб'екта персанальных дадзеных адклікання згоды на апрацоўку яго персанальных дадзеных ва ўстаноўленым парадку (калі апрацоўка персанальных дадзеных ажыццяўлялася на падставе згоды);
5.10.2. дасягненні мэт іх апрацоўцы;
5.10.3. заканчэння тэрміну дзеяння згоды суб'екта персанальных дадзеных (калі апрацоўка персанальных дадзеных ажыццяўлялася на падставе згоды);
5.10.4. выяўлення неправамернай апрацоўцы персанальных дадзеных;
5.10.5. спынення дзейнасці Таварыства.
6. Меры, якія прымаюцца для абароны персанальных дадзеных суб'ектаў
6.1. Таварыства прымае неабходныя і дастатковыя прававыя, арганізацыйныя і тэхнічныя меры для абароны персанальных дадзеных ад неправамернага або выпадковага доступу да іх, знішчэння, змянення, блакіравання, капіравання, распаўсюджвання, а таксама ад іншых неправамерных дзеянняў.
6.2. Меры, неабходныя і дастатковыя для забеспячэння выканання Таварыствам абавязкаў Аператара (упаўнаважанай асобы), прадугледжаных заканадаўствам Рэспублікі Беларусь у галіне абароны персанальных дадзеных, уключаюць:
6.2.1. прадастаўленне суб'ектам персанальных дадзеных неабходнай інфармацыі да атрымання іх згоды на апрацоўку персанальных дадзеных (інфармаванне);
6.2.2. растлумачэнне суб'ектам персанальных дадзеных іх правоў, звязаных з апрацоўкай персанальных дадзеных;
6.2.3. атрыманне пісьмовай згоды суб'ектаў персанальных дадзеных на апрацоўку іх персанальных дадзеных, за выключэннем выпадкаў, прадугледжаных заканадаўствам Рэспублікі Беларусь, калі такая згода не патрабуецца;
6.2.4. прызначэнне асобы, адказнай за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных дадзеных у Таварыстве;
6.2.5. прыняцце дакументаў, якія вызначаюць палітыку Таварыства ў адносінах да апрацоўцы персанальных дадзеных;
6.2.6. уключэнне ў пагадненні (дагаворы), якія заключаюцца Таварыствам з контрагентамі, патрабаванняў забеспячэння бяспекі персанальных дадзеных;
6.2.7. азнаямленне работнікаў, якія непасрэдна ажыццяўляюць апрацоўку персанальных дадзеных у Таварыстве, з палажэннямі заканадаўства аб персанальных дадзеных і Палітыкай Таварыства, а таксама навучанне ўказаных работнікаў і іншых асоб у парадку, устаноўленым заканадаўствам;
6.2.8. устанаўленне парадку доступу да персанальных дадзеных, у тым ліку якія апрацоўваюцца ў інфармацыйным рэсурсе (сістэме);
6.2.9. выкарыстанне сродкаў абароны інфармацыі, а таксама ажыццяўленне тэхнічнай і крыптаграфічнай абароны персанальных дадзеных у Таварыстве ў парадку, устаноўленым Аператыўна-аналітычным цэнтрам пры Прэзідэнце Рэспублікі Беларусь, у адпаведнасці з класіфікацыяй інфармацыйных рэсурсаў (сістэм), якія змяшчаюць персанальныя дадзеныя;
6.2.10. забеспячэнне неабмежаванага доступу да дакументаў, якія вызначаюць палітыку Таварыства ў адносінах да апрацоўцы персанальных дадзеных, да пачатку такой апрацоўцы;
6.2.11. спыненне апрацоўцы персанальных дадзеных пры адсутнасці падстаў для іх апрацоўцы;
6.2.12. неадкладнае, але не пазней за 3 (трох) працоўных дзён з моманту, калі Таварыству стала вядома аб парушэнні, паведамленне ўпаўнаважанага органа па абароне правоў суб'ектаў персанальных дадзеных - Нацыянальнага цэнтра абароны персанальных дадзеных Рэспублікі Беларусь - аб парушэннях сістэм абароны персанальных дадзеных;
6.2.13. ажыццяўленне змянення, блакіравання, выдалення недакладных або атрыманых незаконным шляхам персанальных дадзеных;
6.2.14. абмежаванне апрацоўцы персанальных дадзеных дасягненнем канкрэтных, загадзя заяўленых законных мэт;
6.2.15. ажыццяўленне захоўвання персанальных дадзеных у форме, якая дазваляе ідэнтыфікаваць суб'ектаў персанальных дадзеных, не даўжэй, чым гэтага патрабуюць заяўленыя мэты апрацоўцы персанальных дадзеных;
6.2.16. арганізацыя кантролю доступу ў адміністрацыйныя памяшканні Таварыства.
7.1. Гэтая Палітыка адносна апрацоўцы персанальных дадзеных уступае ў сілу з моманту яе зацвярджэння загадам дырэктара Таварыства.
7.2. Таварыства мае права ўносіць змены і дапаўненні ў Палітыку ў дачененні да апрацоўцы персанальных дадзеных. Новая рэдакцыя Палітыкі ўступае ў сілу з моманту яе размяшчэння на сайце Таварыства, калі іншае не прадугледжана новай рэдакцыяй Палітыкі.
7.3. Палітыка не прымяняецца да апрацоўцы персанальных дадзеных у працэсе працоўнай дзейнасці і пры ажыццяўленні адміністрацыйных працэдур (у дачыненні да работнікаў і былых работнікаў), пры вядзенні аўдыязапісу і відэаназірання, а таксама пры апрацоўцы файлаў cookie на сайце Таварыства.
7.4. Сапраўдная Палітыка з'яўляецца агульнадаступнай. Агульная даступнасць Палітыкі забяспечваецца шляхам яе размяшчэння ў свабодным доступе ў адміністрацыйным памяшканні Таварыства па адрасе: г. Мінск, вул. Кульман, дом 35 А, каб. 15, а таксама на афіцыйным сайце Таварыства па адрасе
https://daichi-belarus.by.