Политика обработки персональных данных

ПОЛОЖЕНИЕ
об обработке и защите персональных данных

I. Общие положения

1. Настоящее Положение об обработке и защите персональных данных (далее — Положение) определяет политику Ассоциации профессионалов по торговому финансированию (далее — Ассоциация, Оператор) в отношении обработки персональных данных, в том числе порядок обработки Ассоциацией персональных данных лиц, не являющихся его работниками, включая порядок сбора, хранения, использования, передачи и защиты персональных данных.

2. Настоящее Положение разработано во исполнение требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон).

3. Положение является локальным правовым актом Ассоциации, обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Положением.

4. Контакты Ассоциации:

  • УНП: 193698525;
  • юридический адрес: 220113, г. Минск, ул. Белинского, 23–337;
  • e-mail: info@aptf.by.

5. Обработка персональных данных включает в себя любые действия или совокупность действий, которые совершаются с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

6. Обработка персональных данных осуществляется:

  • с использованием средств автоматизации с передачей полученной информации по информационно-коммуникационным сетям и без передачи;
  • без использования средств автоматизации;
  • смешанным способом.

7. Оператором, осуществляющим обработку персональных данных, является Ассоциация.

8. В настоящем Положении используются термины и определения, применяемые в Законе Республики Беларусь от 7 мая 2021 г. № 99–3 «О защите персональных данных».

9. Настоящее Положение является общедоступным документом и публикуется в открытом доступе на официальном сайте Ассоциации: www.aptf.by.

10. Положение распространяется на все действия, связанные с обработкой персональных данных Клиента, совершаемые Ассоциацией, независимо от формы и способа предоставления таких данных (в бумажной или электронной, через сайт, по телефону и т.п.).

11. Ассоциация обязуется обеспечивать конфиденциальность и безопасность персональных данных Клиентов, а также соблюдать требования законодательства при их обработке.

12. Положение не применяется к обработке персональных данных, полученных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), при видеонаблюдении, а также при обработке файлов cookie пользователей интернет-сайта.

Передавая Оператору персональные данные, в том числе посредством интернет-ресурсов Ассоциации, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящем Положении.

13. Ассоциация без согласия субъекта персональных данных не предоставляет (не распространяет) третьим лицам персональные данные, за исключением случаев, предусмотренных законодательством Республики Беларусь или договором, заключённым между Ассоциацией и субъектом персональных данных.

14. Срок, на который дается согласие субъекта персональных данных, устанавливается в зависимости от целей обработки персональных данных.

15. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь.

 II. Порядок и условия обработки персональных данных

16. Обработка персональных данных в Ассоциации осуществляется как с использованием средств автоматизации, так и без их использования.

17. Ассоциация осуществляет обработку персональных данных посредством сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.

18. Источниками получения персональных данных являются:

  • информация, документы, содержащие персональные данные, предоставленные Ассоциации самим субъектом персональных данных (его уполномоченным представителем) для осуществления деятельности Ассоциации; документы, записи, содержащие персональные данные, адресованные Ассоциации (например, заявления, обращения);
  • информация, содержащая персональные данные, полученная из общедоступных источников персональных данных и источников, в которых персональные данные сделаны общедоступными самим субъектом персональных данных;
  • информационные ресурсы государственных органов и иных организаций (Национальный банк Республики Беларусь, Министерство внутренних дел, Межбанковская система идентификации и т.д.);
  • иные законные источники получения персональных данных.

19. Ассоциация осуществляет распространение персональных данных, таких как:

  • фамилия, имя, отчество (при наличии), фотоизображение для размещения информации об участниках конференций, рабочих групп по вопросам деятельности Ассоциации;
  • фамилия, имя, отчество (при наличии), должность, место работы для размещения информации о выступающих на мероприятиях, организованных Ассоциацией или при ее участии, на интернет-сайте Ассоциации.

20. Ассоциация не осуществляет передачу персональных данных третьими лицам, за исключением случаев передачи таких данных уполномоченным лицам, если это определенно договорными отношениями, а также если передача персональных данных предусмотрена законодательными актами.

21. В случаях, когда Ассоциация осуществляет обработку персональных данных как уполномоченное лицо, перечень действий, совершаемых с персональными данными, определяет оператор.

III. Категории субъектов персональных данных

22. Ассоциация обрабатывает персональные данные следующих категорий субъектов:

  • работников, бывших работников Ассоциации;
  • родственников (членов семьи) работников Ассоциации;
  • кандидатов для приема на работу в Ассоциацию;
  • контрагентов и их клиентов (их представителей) Ассоциации, являющихся физическими лицами;
  • представителей членов Ассоциации, являющихся юридическими лицами (индивидуальными предпринимателями);
  • посетителей (пользователей) интернет-сайта Ассоциации;
  • лиц, предоставивших Ассоциации персональные данные путем оформления подписок на рассылку, при отправке отзывов, обращений, заполнении анкет в ходе проводимых Ассоциацией или при ее участии мероприятий, заседаний рабочих групп;
  • иных субъектов, взаимодействие которых с Ассоциацией создает необходимость обработки персональных данных.

IV. Цели обработки персональных данных

23. Ассоциация осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.

24. Персональные данные обрабатываются Ассоциацией в целях:

  • организации правовой, информационной и методологической помощи членам Ассоциации в сфере торгового финансирования;
  • проведения Ассоциацией семинаров, конференций, выставок, обсуждений, иных аналогичных мероприятий;
  • проведение заседаний рабочих групп по вопросам торгового финансирования для субъектов персональных данных;
  • участия в национальных и международных банковских проектах по банковскому торговому финансированию, и продвижения банковского торгового финансирования в Республике Беларусь в целом;
  • организации образовательных программ для участников (их представителей) внутренней и внешней торговли;
  • обеспечение координации действий членов Ассоциации (их представителей) в сфере торгового финансирования;
  • привлечения и отбора кандидатов на работу в Ассоциацию;
  • регулирования трудовых и иных, непосредственно связанных с ними отношений;
  • формирования и предоставления представления единой позиции белорусского рынка торгового финансирования на различных международных площадках;
  • налаживания и поддержания контактов с международными организациями;
  • осуществление иной информационной и маркетинговой деятельности;
  • предоставления информации уполномоченным государственным органам в случаях, установленных законодательством.

V. Порядок и условия обработки персональных данных

25. Обработка персональных данных Клиентов осуществляется Ассоциацией с соблюдением требований законодательства Республики Беларусь, с применением как автоматизированных, так и неавтоматизированных средств.

26. Основные действия, совершаемые Оператором с персональными данными, включают:

  • сбор (в том числе путём заполнения форм, заявлений, анкет на бумажных носителях и в электронных формах);
  • запись;
  • систематизацию;
  • хранение (на электронных носителях или в бумажных архивах);
  • изменение (обновление, уточнение);
  • использование (в том числе в информационных системах);
  • обезличивание (в случае, если цель обработки достигнута или требуются статистические цели);
  • блокирование;
  • удаление (по истечении сроков хранения или при отзыве согласия).

27. Обработка персональных данных осуществляется только работниками Ассоциации, допущенными к таким данным в рамках исполнения ими трудовых или должностных обязанностей.

28. Персональные данные могут быть переданы уполномоченным лицам — юридическим или физическим лицам, обрабатывающим данные по поручению Ассоциации (Оператора), только на основании заключённого с ними договора, при условии предоставления Клиентом отдельного согласия, если это требуется в соответствии с законодательством.

29. Ассоциация обеспечивает конфиденциальность персональных данных и принимает необходимые организационные и технические меры по их защите.

30. Ассоциация вправе поручить обработку персональных данных третьему лицу — уполномоченному лицу.

31. Ассоциацией заключены договоры (соглашения) с уполномоченными лицами на оказание услуг, связанных с осуществлением деятельности Ассоциации.

32. Ассоциация заключает с уполномоченными лицами договор либо соглашение об обработке персональных данных в соответствии с требованиями статьи 7 Закона.

33. В целях обеспечения защиты персональных данных при осуществлении обработки уполномоченным лицом на уровне, не ниже, чем у Ассоциации, Ассоциация

  • привлекает уполномоченных лиц, обеспечивающих соответствующие технические и организационные меры таким способом, чтобы обработка отвечала требованиям законодательства Республики Беларусь по защите персональных данных и обеспечивала защиту прав субъекта персональных данных;
  • периодически осуществляет контроль, например путём анкетирования, за выполнением уполномоченным лицом мер по обеспечению защиты прав субъектов персональных данных при их обработке.

VI. Трансграничная обработка персональных данных

34. Ассоциация осуществляет трансграничную передачу данных иностранной организации в соответствии требованиями законодательства Республики Беларусь.

35. Ассоциация осуществляет трансграничную передачу персональных данных работников и представителей членов Ассоциации-юридических лиц в случае направления сообщений, документов в адрес Банковской комиссии Международной торговой палаты, г. Париж, Франция (ICC) и других контрагентов Ассоциации.

36. Ассоциация осуществляет трансграничную передачу персональных данных в этом случае для целей:

  • организации переписки с Международной торговой палатой (ICC), Париж, Франция, иными международными организациями по вопросам торгового финансирования;
  • для налаживания и поддержания контактов с международными организациями и продвижения международного опыта и законодательства по вопросам банковского торгового финансирования в Республике Беларусь в целом.

37. Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Ассоциацией, если:

37.1. на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных – без ограничений при наличии правовых оснований, предусмотренных Законом;

37.2. на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных – в случаях, предусмотренных статьей 9 Закона, в том числе:

  • когда дано согласие субъекта персональных данных при условии;
  • что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
  • при размещении информации о своей деятельности в глобальной компьютерной сети Интернет;
  • когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

VII. Права субъектов персональных данных

38. Субъект персональных данных вправе:

  • получать информацию о своих персональных данных и об их обработке;
  • требовать исправления, обновления, удаления или обезличивания своих персональных данных, если они являются неполными, устаревшими, неточными или избыточными;
  • отзывать своё согласие на обработку персональных данных;
  • обжаловать действия (бездействие) Ассоциации, нарушающие его права при обработке персональных данных;
  • требовать прекращения обработки, если она осуществляется с нарушением законодательства;
  • иные действия, предусмотренные законодательством.

VIII. Прекращение обработки персональных данных

39.Обработка персональных данных прекращается в следующих случаях:

  • достижение цели обработки;
  • истечение срока хранения, установленного законодательством;
  • отзыв субъектом персональных данных согласия на обработку (если согласие являлось основанием);
  • расторжение или прекращение договора с Клиентом, если отсутствуют иные законные основания для обработки;
  • вступление в силу решения уполномоченного государственного органа о прекращении обработки;
  • иные основания, предусмотренные законодательством.

IX. Меры по защите персональных данных

40. Ассоциация принимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных в соответствии с требованиями законодательства Республики Беларусь. Эти меры направлены на предотвращение неправомерного или случайного доступа к персональным данным, их уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия.

41. К числу таких мер относятся:

  • предоставление доступа к персональным данным только уполномоченным сотрудникам;
  • применение антивирусных программ, средств защиты от несанкционированного доступа и иных технических средств информационной безопасности;
  • проведение инструктажей и обучение сотрудников, имеющих доступ к персональным данным;
  • организация внутреннего контроля за соблюдением требований законодательства;
  • заключение договоров с уполномоченными лицами, содержащих обязательства по обеспечению конфиденциальности и безопасности.

42. Объём и характер принимаемых мер определяется с учётом категории обрабатываемых данных, объёма информации, целей её обработки и актуальных угроз безопасности.

X. Заключительные положения

43. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящем Положении, регулируются законодательством Республики Беларусь.

44. В случае возникновения дополнительных вопросов относительно изложенной выше информации обратитесь в Ассоциацию напрямую согласно контактным данным, указанным на интернет-сайте Ассоциации.

45. Ассоциация имеет право по своему усмотрению изменять и (или) дополнять условия настоящего Положения без предварительного и (или) последующего уведомления субъектов персональных данных.