Политика в отношении обработки персональных данных

ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Издание настоящей Политики является одной из обязательных принимаемых ОАО «Центр банковских технологий» (далее – Общество) мер по обеспечению защиты персональных данных (далее – ПД), предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).

2. Настоящая Политика разработана в соответствии с Законом и разъясняет субъектам ПД, как, для каких целей и на каком правовом основании их ПД собираются, используются или иным образом обрабатываются Обществом, а также отражает имеющиеся в связи с этим у субъектов ПД права и механизм их реализации. Настоящая Политика распространяется на все случаи организации и осуществления Обществом обработки ПД в качестве оператора, за исключением обработки cookie-файлов на интернет-сайте Общества.

3. Контактные данные Общества:

местонахождение: 220004, Республика Беларусь, г. Минск, ул. Кальварийская, 7;

номер телефона: +375 17 395 29 16;

адрес в сети Интернет: www.cbt.by;

адрес электронной почты: cbt@cbt.by.

4. Контактные данные лица, ответственного за осуществление внутреннего контроля за обработкой ПД в Обществе:

адрес электронной почты: S.Shesternev@cbt.by;

контактный номер телефона: 8 017 395 29 16 (вн. 176).

5. В настоящей Политике используются термины и их определения в значении, предусмотренном Законом.

6. По тексту настоящей Политики применяются следующие сокращения:

согласие – согласие на обработку ПД;

ФИО – фамилия, собственное имя, отчество (если таковое имеется).

ГЛАВА 2. ЦЕЛИ, ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7. Общество осуществляет обработку ПД в следующих целях:

7.1. в рамках процесса по продвижению продуктов и услуг Общества, в том числе с предоставлением личных мобильных телефонов работников Общества, адресов их личной электронной почты, получением и использованием персональной информации о работниках организаций, заинтересованных в продуктах и услугах Общества:

направление коммерческих предложений Общества потенциальным клиентам Общества;

организация и проведение маркетинговых и рекламных мероприятий;

7.2. в рамках процесса продаж продуктов и услуг Общества, в том числе с получением и использованием контактных данных работников потенциальных клиентов:

ведение клиентской базы в CRM-системе;

осуществление коммуникаций с действующими и потенциальными клиентами для заключения договоров;

обеспечение возможности обратной связи с клиентом Общества;

рассмотрение поступающих в Общество обращений, запросов и предложений;

7.3. в рамках процесса по исполнению обязательств, принятых Обществом по заключенным им договорам (соглашениям):

фиксация и обработка телефонных звонков, электронных сообщений;

7.4. в рамках процессов, связанных с трудовыми отношениями:

прием на работу в Общество, заключение трудового договора (контракта), в том числе заполнение личного листка по учету кадров, предоставление необходимых документов в структурное подразделение, в функции которого входит организация и ведение кадровой работы;

организация трудовой деятельности в соответствии с законодательством, в том числе создание учетных записей для входа в информационные системы Общества; создание телефонного справочника; изготовление визиток; учет рабочего времени; оплата труда; предоставление гарантий и компенсаций, контроль производственно-технологической, исполнительской и трудовой дисциплины; поощрение; привлечение к дисциплинарной ответственности; разрешение индивидуальных трудовых споров; изменение трудового договора; охрана труда; расследование несчастных случаев на производстве; делопроизводство;

прекращение трудового договора;

реализация в случаях, предусмотренных законодательством обязанностей (полномочий) в отношении работника, требующая обработки ПД близких родственников, членов семьи, в том числе заполнение личного листка по учету кадров, ведение воинского учета, предоставление гарантий и компенсаций, социальных отпусков, заполнение деклараций о доходах;

реализация условий коллективного договора между Обществом и работниками;

обеспечение доступа в здания и помещения Общества, в том числе в рамках использования системы контроля и управления доступом (СКУД) с использованием биометрических данных;

использование личного мобильного телефона работника в информационном ресурсе, поздравление с днем рождения посредством рассылки электронного сообщения, размещение информации о работнике на интернет-сайте Общества, в социальных сетях и мессенджерах;

организация добровольного медицинского страхования работников;

организация получения работниками банковских платежных карт для получения заработной платы и иных выплат работнику;

осуществление контроля за посещаемыми работниками интернет-ресурсами с использованием каналов электросвязи организации в рамках политики информационной безопасности Общества;

организация прохождения работниками профессиональной подготовки, повышения квалификации, стажировки, переподготовки, обучающих и развивающих мероприятий;

осуществление административных процедур.

Категории субъектов ПД, чьи данные обрабатываются, перечень ПД, правовые основания обработки ПД, сроки хранения ПД в рамках процессов, связанных с трудовыми отношениями, изложены в приложении.

Персональные данные, обрабатываемые в целях, указанных в подпунктах 7.1 - 7.3 настоящего пункта, включают, в том числе имя, контактные данные (телефон, служебный и/или электронный адрес), наименование организации, должность, а также иные данные, предоставленные самим субъектом персональных данных. Обработка персональных данных, полученных через веб-формы, осуществляется на основании добровольного и информированного согласия субъекта персональных данных, выражаемого путём проставления соответствующей отметки в форме. Также обработка может осуществляться на иных основаниях, предусмотренных применимым законодательством.

8. Обработка ПД осуществляется как с использованием средств автоматизации, так и без их использования, посредством любого действия или совокупности действий, совершаемых с ПД, предусмотренных Законом в качестве действий по обработке ПД. Распространение ПД осуществляется с использованием интернет-сайта Общества, электронной почты с использованием сети Интернет, социальных сетей и мессенджеров.

9. Меры по обеспечению защиты обработки персональной информации:

обработка ПД осуществляется только работниками Общества, в должностные обязанности которых входит обработка конкретного вида ПД;

раскрытие третьим лицам и распространение ПД осуществляются с согласия субъекта ПД, если иное не предусмотрено законодательством (в том числе, в соответствии с законодательством подлежит раскрытию информация на интернет-сайте Общества о размещении сведений о руководителе Общества и его заместителях, о должности и ФИО ответственных работников в рамках раскрытия информации на рынке ценных бумаг, о деятельности Общества, проведении и участии в различных мероприятиях (интервью, выступление и др.);

распространение ПД потенциальных и действующих клиентов исключительно на основании и в порядке, предусмотренном заключенными с клиентом договорами (соглашениями), в том числе соглашением о конфиденциальности.

10. ПД хранятся в течение срока, необходимого для достижения целей обработки, и подлежат удалению (или обезличиванию) по достижении этих целей, либо по письменному требованию субъекта ПД, если иное не предусмотрено законодательством.

ГЛАВА 3. УПОЛНОМОЧЕННЫЕ ЛИЦА

11. Общество может поручать обработку ПД уполномоченным лицам.

12. В случае поручения обработки ПД уполномоченному лицу Общество:

определяет и поддерживает в актуальном состоянии перечень уполномоченных лиц, осуществляющих обработку ПД;

заключает с уполномоченными лицами соглашения об обработке ПД в соответствии с требованиями статьи 7 Закона;

13. В целях обеспечения защиты ПД при их обработке уполномоченным лицом на уровне не ниже, чем у Общества, Общество:

периодически осуществляет контроль за выполнением уполномоченным лицом мер по обеспечению защиты прав субъектов ПД при их обработке по поручению оператора;

как правило, не дает уполномоченному лицу разрешения на привлечение субуполномоченных лиц, либо допускает привлечение уполномоченными лицами субуполномоченных лиц, только при условии получения предварительного письменного разрешения оператора.

ГЛАВА 4. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

14. Общество осуществляет трансграничную передачу ПД на территорию других государств, включенных в перечень стран с надлежащим уровнем защиты прав субъектов ПД.

15. Цели трансграничной передачи ПД; субъекты, которым передаются ПД; перечень ПД и правовое основание обработки ПД определены в Таблице «Трансграничная передача ПД».

№ п/п	Цель трансграничной передачи ПД	Организации, которым передаются ПД	Перечень ПД	Правовое основание обработки ПД
1	Заключение, исполнение и прекращение гражданско-правовых договоров, связанных с:
1.1	обучением работников Общества	организации, оказывающие услуги по обучению, в том числе информационные и (или) консультационные услуги	ФИО, должность	1) абз. 8 ст. 6 Закона, законодательство о труде, если обеспечение обучения является обязанностью нанимателя; 2) абз. 15 ст. 6 Закона (договор оказания образовательных услуг)
1.2	осуществлением Обществом предпринимательской деятельности	партнеры, осуществляющие деятельность в области информационных технологий	ФИО, должность, иные ПД, указанные в доверенности	для представителя юридического лица – абз. 8 ст. 6 Закона, законодательство о труде, гражданское законодательство
		соисполнители, привлекаемые Обществом в рамках своей производственной деятельности
		контрагенты, которым Общество оказывает и (или) планирует оказывать услуги в рамках своей производственной деятельности
2	Направление работников в заграничные командировки	принимающая сторона	ФИО, должность	абз. 8 ст. 6 Закона, законодательство о труде
2	Направление работников в заграничные командировки	организации оказывающие транспортные услуги, услуги проживания	ФИО, должность, адрес регистрации, данные документа, удостоверяющего личность	абз. 8 ст. 6 Закона, законодательство о труде

ГЛАВА 5. ОСОБЕННОСТИ ОСУЩЕСТВЛЕНИЯ ВИДЕОНАБЛЮДЕНИЯ В ОБЩЕСТВЕ

16. Видеонаблюдение в Обществе ведется круглосуточно и непрерывно при помощи камер открытого видеонаблюдения, направленных на входные двери и двери запасных выходов. Видеонаблюдение не используется для записи звука.

В иных помещениях Общества, в том числе предназначенных для личных нужд работников (туалеты, места отдыха и приема пищи, раздевалки и т.д.), видеонаблюдение не осуществляется.

17. Субъекты ПД информируются о видеонаблюдении путем размещения на территории, где ведется видеонаблюдение, специальных информационных табличек.

18. Общество осуществляет видеонаблюдение самостоятельно, без привлечения уполномоченных лиц.

19. Срок хранения видеозаписей составляет 30 календарных дней, по истечении которого происходит их автоматическое удаление.

Указанный срок может быть продлен в отношении отдельных видеозаписей по устному распоряжению руководителя Общества (лица, его замещающего в установленном порядке) в случаях:

поступления информации о возможной фиксации камерами видеонаблюдения ситуации, имеющей признаки совершения дисциплинарного проступка, административного правонарушения, преступления, – на период проведения соответствующих служебных расследований и иных проверочных мероприятий;

поступления обращения субъекта ПД для принятия решения, по которому необходима информация, зафиксированная камерами видеонаблюдения, – на период рассмотрения такого обращения.

20. Обществом устанавливаются ограничения прав доступа работников к записям камер видеонаблюдения в соответствии с их должностными обязанностями и на порядок доступа к ПД, содержащимся в видеозаписях.

21. Видеозаписи не могут быть использованы в личных и иных целях, не связанных с выполнением должностных обязанностей, и содержащиеся в них ПД не подлежат обработке, кроме случаев, предусмотренных законодательством.

ГЛАВА 6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

22. Субъект ПД имеет право:

22.1. на отзыв своего согласия, если для обработки ПД Общество обращалось к субъекту ПД за получением согласия;

Субъект ПД в любое время без объяснения причин может отозвать свое согласие в порядке, установленном статьей 14 Закона, либо в форме, посредством которой получено его согласие;

Общество обязуется в пятнадцатидневный срок после отзыва согласия прекратить обработку ПД, удалить их и уведомить об этом субъекта ПД;

Общество отказывает в прекращении обработки ПД, если такая обработка осуществляется на ином правовом основании (например, в соответствии с требованиями законодательства либо на основании договора);

22.2. на получение информации, касающейся обработки своих ПД Обществом, содержащей:

место нахождения Общества;

подтверждение факта обработки ПД Обществом;

ПД и источник их получения;

правовые основания и цели обработки ПД;

срок, на который дано согласие (если обработка ПД осуществляется на основании согласия);

наименование и место нахождения уполномоченного лица (уполномоченных лиц);

иную информацию, предусмотренную законодательством.

Субъекту ПД не требуется обосновывать свой интерес к запрашиваемой информации.

Общество отказывает в предоставлении запрашиваемой информации в случаях, предусмотренных законодательством;

22.3. требовать от Общества внесения изменений в свои ПД в случае, если они являются неполными, устаревшими или неточными. В этих целях субъект ПД прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в ПД.

Общество отказывает в изменении ПД, если из представленной информации не вытекает, что ПД субъекта являются неполными, устаревшими или неточными;

22.4. на получение от Общества информации о предоставлении своих ПД, обрабатываемых Обществом, третьим лицам. Такая информация может быть получена один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.

Общество отказывает в предоставлении запрашиваемой информации, если обработка ПД осуществляется в соответствии с законодательством об оперативно-розыскной деятельности, уголовно-процессуальным законодательством и в иных случаях, предусмотренных законодательством;

22.5. требовать от Общества бесплатного прекращения обработки своих ПД, включая их удаление.

При отсутствии технической возможности удаления ПД Общество обязано принять меры по недопущению дальнейшей обработки ПД, включая их блокирование, и уведомить об этом субъекта ПД.

Общество может отказать в прекращении обработки ПД и (или) их удалении при наличии оснований для обработки ПД, предусмотренных Законом и иными законодательными актами;

22.6. на обжалование действий (бездействия) и решений Общества, нарушающих его права при обработке ПД, в порядке, установленном законодательством.

Если субъект ПД полагает, что его права были нарушены, он может обратиться в Общество посредством направления (предоставления) заявления, составленного в письменной форме либо в виде электронного документа, для принятия мер по восстановлению его нарушенных прав.

Субъект ПД также наделен правом обратиться за защитой нарушенных прав, свобод и законных интересов субъекта ПД в Национальный центр защиты персональных данных с жалобой на действия (бездействие) Общества.

Для реализации прав, указанных в подпунктах 22.1 - 22.5 настоящего пункта, субъекту ПД необходимо направить в Общество заявление в письменной форме по адресу, указанному в пункте 3 настоящей Политики, или в виде электронного документа, подписанного электронной цифровой подписью, а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено.

Такое заявление должно содержать следующую информацию:

ФИО и адрес места жительства (места пребывания) субъекта ПД;

дату рождения субъекта ПД;

идентификационный номер субъекта ПД, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта ПД, в случаях, если эта информация указывалась субъектом ПД при даче своего согласия оператору или обработка ПД осуществляется без согласия субъекта ПД;

изложение сути требований субъекта ПД;

личную подпись либо электронную цифровую подпись субъекта ПД.

23. Общество в течение пяти рабочих дней после получения заявления, предоставляет в доступной форме указанную информацию либо уведомляет о причинах отказа в ее предоставлении. Информация предоставляется бесплатно.

24. Общество в пятнадцатидневный срок после получения заявления вносит соответствующие изменения в ПД и уведомляет об этом субъекта ПД либо уведомляет о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в ПД не установлен законодательными актами.

ГЛАВА 7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

25. Настоящая Политика не реже чем один раз в год подлежит оценке (пересмотру) на актуальность и проверке на соответствие законодательству и локальным правовым актам Общества. Указанная оценка и последующая актуализация настоящей Политики осуществляется Отделом безопасности.

26. Общество имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов ПД. Действующая редакция настоящей Политики размещается на интернет-сайте Общества (https://www.cbt.by) на странице не ниже второго уровня или в элементе структуры сайта со сквозным отображением (футере сайта).

Приложение к Политике в отношении обработки ПД в ОАО «Центр банковских технологий»

Цели обработки ПД	Категории субъектов ПД, чьи данные обрабатываются	Перечень обрабатываемых ПД	Правовые основания обработки ПД	Срок хранения ПД
ОБРАБОТКА ПД ПРИ РЕАЛИЗАЦИИ ЗАКОНОДАТЕЛЬСТВА О ТРУДЕ
*Прием на работу, заключение трудового договора (контракта)* (в том числе заполнение личного листка по учету кадров, предоставление необходимых документов в кадровую службу)	Работники	ФИО, адрес, должность служащего (профессия рабочего), образование, размер заработной платы, а также иные ПД, необходимые для достижения соответствующей цели	Абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона (законодательство о труде)	В соответствии со сроками, определенными законодательством об архивном деле и делопроизводстве Если срок не определен – до прекращения трудовых отношений
*Организация трудовой деятельности* (в том числе создание учетных записей для входа в информационные системы Общества; создание телефонного справочника; изготовление визиток; учет рабочего времени; оплата труда; предоставление гарантий и компенсаций, контроль производственно-технологической, исполнительской и трудовой дисциплины; поощрение; привлечение к дисциплинарной ответственности; разрешение индивидуальных трудовых споров; изменение трудового договора; охрана труда; расследование несчастных случаев на производстве; делопроизводство)
*Прекращение трудового договора*
Реализация в случаях, предусмотренных законодательством, обязанностей (полномочий) в отношении работника, требующая обработки ПД близких родственников, *членов его семьи* (в том числе заполнение личного листка по учету кадров; ведение воинского учета; предоставление гарантий и компенсаций, социальных отпусков; заполнение деклараций о доходах)	Близкие родственники, члены семьи работников	ФИО, а также иные ПД, предусмотренные законодательством	Абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона (законодательство о труде)	В соответствии со сроками, определенными законодательством об архивном деле и делопроизводстве для соответствующей обработки ПД работников
ОБРАБОТКА ПД НА ОСНОВАНИИ СОГЛАСИЯ
Реализация условий коллективного договора между Обществом и работниками;	Работники, члены семьи работников	ФИО, дата рождения, иная информация, предусмотренная условиями коллективного договора	Согласие	до отзыва согласия
Обеспечение доступа в здания Общества в рамках системы контроля и управления доступом (СКУД) с использованием биометрических ПД	Работники	Изображение работника, отпечатки пальцев рук	Согласие	до отзыва согласия
Использование личных мобильного номера телефона работника, адреса электронной почты, аккаунта в информационном ресурсе, социальных сетях	Работники	личные мобильный номер телефона, адрес электронной почты, аккаунт в социальных сетях	Согласие	до отзыва согласия
Указание даты рождения работника в информационном ресурсе, поздравление с днем рождения посредством рассылки электронного сообщения	Работники	ФИО, дата рождения	Согласие	до отзыва согласия
Размещение информации о работниках на интернерт-сайте Общества, в социальных сетях и мессенджерах	Работники	ФИО, должность служащего (профессия рабочего), фото- и видеоизображение, сопроводительный текст (при наличии)	Согласие, если: 1. размещение информации не связано с трудовой функцией работника; 2. работник является основным объектом съемки; 3. обязанность размещения информации о работнике не предусмотрена законодательством. В иных случаях (например, при размещении фото- и видеоизображений работников на общем плане в рамках новостного контента) правовым основанием такой обработки может выступать абз. 8 ст. 6 Закона	Если правовым основанием выступает согласие – до отзыва согласия. Если обработка связана с трудовой функцией работника – до даты прекращения трудовых отношений. Если обрабатываются общедоступные ПД – до момента заявления субъектом ПД требований о прекращении обработки ПД, а также об их удалении при отсутствии иных оснований для обработки ПД, предусмотренных Законом и иными законодательными актами
Создание и размещение информационном ресурсе (интернет-сайте) Общества информационного контента о деятельности организации с участием работников	Работники	Фото- и (или) видеоизображение	Согласие	до отзыва согласия
Организация добровольного медицинского страхования расходов работников	Работники	ФИО, адрес регистрации, серия и номер паспорта, иные ПД, необходимые для организации добровольного медицинского страхования	1. Согласие 2. Абз. 16 ст. 6 Закона (заявление работника, адресованное нанимателю) 3. Абз. 8 статьи 6 (при наличии соответствующей гарантии в коллективном договоре)	1. до отзыва согласия 2. В иных случаях срок устанавливается в соответствии с законодательством об архивном деле и делопроизводстве, а при отсутствии такового – с учетом требований п. 8 ст. 4 Закона
ИНАЯ ОБРАБОТКА ПД, СВЯЗАННАЯ С ТРУДОВЫМИ ОТНОШЕНИЯМИ
Осуществление контроля за посещаемыми работниками интернет-ресурсами с использованием каналов электросвязи организации в рамках политики информационной безопасности	Работники	IP-адрес устройства и интернет-ресурса, MAC-адрес устройства, время начала и окончания посещения В случае попытки посещения интернет-ресурсов, доступ к которым ограничен, –. сведения об учетной записи, URL-адрес интернет-ресурса, время попытки посещения	Абз. 8 ст. 6 Закона, Указы Президента Республики Беларусь от 01.02.2010 № 60 и от 14.02.2023 № 40.	1 год с даты посещения, а при наличии признаков дисциплинарного проступка, административного правонарушения – до окончания проведения соответствующих проверок
Организация прохождения работниками профессиональной подготовки, повышения квалификации, стажировки, переподготовки, иных форм обучающих и развивающих мероприятий	Работники	ФИО, адрес регистрации, данные документа, удостоверяющего личность, в том числе идентификационный номер, сведения о посещении занятий	1. Абз. 8 ст. 6 Закона (законодательство о труде), если обеспечение обучения является обязанностью нанимателя 2 Абз. 15 ст. 6 Закона (договор оказания образовательных услуг)	3 года после проведения проверки налоговыми органами, а если проверка не проводилась – 10 лет после прекращения договора
Осуществление административных процедур	Работники, в том числе бывшие работники	ФИО, адрес регистрации, а также иные ПД, указанные в заявлении	1. В отношении работников – абз. 8 ст. 6, абз. 3 п. 2 ст. 8 Закона 2. В отношении бывших работников – абз. 20 ст. 6, абз. 12 п. 2 ст. 8 Закона (законодательство об административных процедурах)	5 лет с даты подачи заявления
Организация получения работниками банковских платежных карт (БПК) для получения заработной платы и иных выплат работнику	Работники, в том числе бывшие работники	ФИО, адрес регистрации, а также иные ПД, указанные в заявлении на выдачу БПК	Согласие	До передачи информации (документов с ПД) в обслуживающий банк