ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика определяет основные цели и правовые основания обработки персональных данных, перечни субъектов и обрабатываемых в обществе с ограниченной ответственностью «Лаборатория Икс», зарегистрированном администрацией Октябрьского района г. Витебска 19.02.2014 года в Едином государственном регистре юридических лиц и индивидуальных предпринимателей за № 391391601, расположенном по адресу: Республика Беларусь, 210015, Витебская область, г. Витебск, ул. Гоголя, д. 14, каб. 808 (далее – «Оператор»), порядок, условия, способы обработки персональных данных, права субъектов персональных данных, обязанности Оператора при обработке персональных данных, а также реализуемые у Оператора требования и меры защиты персональных данных.

1.2. Настоящая Политика разработана с учетом требований Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», иных законодательных и нормативных правовых актов Республики Беларусь в области персональных данных.

1.3. Положения Политики служат основой для разработки иных локальных правовых актов Оператора, регламентирующих вопросы обработки персональных данных работников Оператора и других субъектов персональных данных.

1.4. Для целей настоящей Политики используются термины, значения которых определены в статье 1 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и используемые в настоящей Политике в аналогичном значении.

В том числе:
        Платформа — мобильное приложение либо сайт, разработанные Оператором.

1.5. Настоящая Политика вступает в силу с момента её утверждения руководителем Оператора и действует до её отмены/замены новой. Изменения в Политику вносятся на основании приказов руководителя Оператора.

2. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Оператор осуществляет обработку персональных данных с учетом необходимости обеспечения защиты прав и свобод субъектов, персональные данные которых обрабатываются Оператором, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных;

обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

2.2. Персональные данные обрабатываются Оператором в следующих целях:

обеспечение исполнения норм действующего законодательства, исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством;

регистрации и обслуживания аккаунтов субъекта персональных данных на Платформе;

коммуникации с субъектом персональных данных, включая направление уведомлений, запросов, касающихся использования Платформы, обработки запросов и заявок субъектов персональных данных на Платформе;

совершения различных сделок с субъектами персональных данных, их последующее исполнение, а в случае необходимости – изменение или расторжение;

отправки субъектам персональных данных новостной рассылки и иных сведений, в том числе рекламного характера;

в маркетинговых целях Оператора;

проведения статистических и иных исследований на основе обезличенных данных;

обеспечения функционирования и безопасности Платформы;

улучшения качества Платформы.

3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ. ОБЪЕМ ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор обрабатывает персональные данные, которые могут быть получены от следующих субъектов персональных данных:

посетителей Платформы (лиц, использующих Платформу без прохождения процедуры регистрации);

покупателей, предоставивших Оператору персональные данные путем оформления заказов на Платформе, путем заполнения соответствующих форм при регистрации;

лиц, предоставивших Оператору персональные данные иным способом.

3.2. Перечень персональных данных, обрабатываемых Оператором, определяется им применительно к каждой категории субъектов персональных данных с учетом целей обработки персональных данных, указанных в разделе 2 настоящей Политики.

3.3. Оператор обрабатывает следующие персональные данные субъекта персональных данных:

фамилия, имя, отчество;

пол;

дата рождения;

номер телефона;

адрес субъекта персональных данных для доставки заказа;

иные данные о субъекте персональных данных, которые субъект персональных данных пожелал оставить на Платформе.

3.4. Для анализа работы Платформы, в том числе получения информации о том, какие сведения наиболее актуальны и востребованы среди посетителей Платформы/Покупателей, как часто они посещают Платформу, какой браузер и устройство при этом используют, какой контент Платформы просматривают, в целях определения их региона, а также получениях иных схожих демографических и статистических данных, Оператор также может обрабатывать следующие данные:

данные, которые автоматически передаются устройством субъекта персональных данных, с помощью которого используется Платформа, в том числе технические характеристики устройства, IP-адрес, информация, сохраненная в файлах «cookies», которые были отправлены на устройства, информация о браузере, дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация;

данные о местонахождении посетителей Платформы/ Покупателях, если они сообщили свои координаты или выбрали свое местоположение в интерфейсе Платформы.

4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Основанием обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, установленных законодательством Республики Беларусь, когда обработка персональных данных осуществляется без получения такого согласия.

Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает Оператору обработку своих персональных данных.

Отказ в даче согласия на обработку персональных данных дает право Оператору отказать субъекту персональных данных в предоставлении доступа к Платформе, использовании функционала Платформы.

4.2. Обработка персональных данных Оператором включает в себя следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

4.3. Обработка персональных данных осуществляется Оператором следующими способами:

неавтоматизированная обработка персональных данных;

автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

смешанная обработка персональных данных.

4.4. Оператор при обработке персональных данных может использовать сторонние автоматизированные сервисы и инструменты (например: AppMetrica, AppsFlyer, Firebase). Компания, предоставляющая соответствующий сторонний автоматизированный сервис и (или) инструмент, может иметь доступ к статистическим и иным обезличенным данным субъектов персональных данных, собранным на Платформе посредством такого сервиса и (или) инструмента.

4.5. Обрабатываемые Оператором персональные данные могут храниться в базах данных на серверах Оператора, его аффилированных лиц, поставщиков услуг Оператора, в том числе расположенных на территории иностранных государств. В связи с этим субъект персональных данных при предоставлении Оператору согласия на обработку персональных данных также предоставляет согласие на передачу Оператором его персональных данных таким третьим лицам, в том числе на территорию иностранных государств, в которых законы в области защиты данных могут отличаться от законодательства, действующего в стране проживания субъекта персональных данных.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством Республики Беларусь, договором, заключенным (заключаемым) с субъектом персональных данных, в целях совершения действий, предусмотренных этим договором.

4.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока обработки персональных данных, отзыв согласия субъекта персональных данных на обработку персональных данных.

4.7. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И МЕХАНИЗМ ИХ РЕАЛИЗАЦИИ

5.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки его персональных данных Оператором, включая получение от Оператора подтверждение того, обрабатываются ли персональные данные, касающиеся субъекта персональных данных, Оператором. Настоящее право может быть реализовано субъектом персональных данных посредством подачи Оператору заявления в письменной форме, направленного по адресу Оператора: Республика Беларусь, 210015, Витебская область, г. Витебск, ул. Гоголя, д. 14, каб. 808, либо в виде электронного документа, направленного на электронный адрес Оператора info@xlab.by. Заявление должно содержать:

фамилию, имя, отчество субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

Оператор в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных предоставит ему запрашиваемую информацию либо уведомит его о причинах отказа в ее предоставлении.

5.2. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает Оператору заявление в порядке, установленном пунктом 5.1 Политики, с приложением соответствующих документов и (или) их заверенных копий, подтверждающих необходимость внесения изменений в персональные данные.

Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных внесет соответствующие изменения в его персональные данные и уведомит об этом субъекта персональных данных либо уведомит субъекта персональных данных о причинах отказа во внесении таких изменений.

5.3. Субъект персональных данных вправе получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно посредством подачи заявления в порядке, установленном пунктом 5.1 Политики.

Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомит субъекта персональных данных о причинах отказа в ее предоставлении.

5.4. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в порядке, установленном пунктом 5.1 Политики.

Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных в соответствии с его содержанием прекратит обработку персональных данных (если нет оснований для их обработки согласно законодательству Республики Беларусь), осуществит их удаление, а при отсутствии технической возможности удаления – примет меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомить об этом субъекта персональных данных в тот же срок.

5.5. Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, посредством подачи заявления в порядке, установленном пунктом 5.1 Политики.

Оператор в течение пятнадцати дней после получения заявления субъекта персональных данных прекратит обработку персональных данных (если нет оснований для их обработки согласно законодательству Республики Беларусь), осуществит их удаление, а при отсутствии технической возможности удаления – примет меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомит об этом субъекта персональных данных в тот же срок.

5.6. Прекращение обработки Оператором персональных данных в случаях, предусмотренных пунктом 5.4 и пунктом 5.5 Политики, может сделать невозможным дальнейшее предоставление Оператором услуг субъекту персональных данных.

5.7. Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора, связанные с обработкой его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Национальный центр защиты персональных данных Республики Беларусь) в порядке, установленном законодательством об обращениях граждан и юридических лиц.

6. ФУНКЦИИ ОПЕРАТОРА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор при осуществлении обработки персональных данных:

принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь в области персональных данных;

принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных у Оператора;

издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных Оператора;

осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных нормативных актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;

публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

сообщает в установленном порядке субъектам персональных данных информацию о наличии персональных данных, относящихся к соответствующим субъектам, а также информацию о предоставлении его персональных данных третьим лицам, предоставляет возможность ознакомления с этой информацией при обращении и (или) поступлении запросов указанных субъектов персональных данных, если иное не установлено законодательством Республикой Беларусь;

прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;

совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.