1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее – Политика) составлена в соответствии с Законом Республики Беларусь «О защите персональных данных» (далее – Закон) и иными актами законодательства Республики Беларусь и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «Вилайкон» (далее – Оператор).
1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика применяется ко всей информации, которую Оператор может получить о субъектах персональных данных – посетителях веб-сайта https://vilaikon.by, а также лицах, обратившихся к Оператору для оформления заказа услуг.
1.4. Политика действует бессрочно до замены её новой версией. Актуальная версия Политики в свободном доступе расположена в глобальной компьютерной сети Интернет по адресу https://vilaikon.by.

2. Основные термины и их определения

В настоящей Политике используются следующие термины в значениях, определённых статьёй 1 Закона:

• персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
• оператор – ООО «Вилайкон», самостоятельно организующее и (или) осуществляющее обработку персональных данных;
• субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных (пользователь сайта, заказчик услуг);
• обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
• автоматизированная обработка – обработка персональных данных с помощью средств вычислительной техники;
• блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
• удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) уничтожаются материальные носители;
• обезличивание персональных данных – действия, в результате которых без использования дополнительной информации невозможно определить принадлежность персональных данных конкретному субъекту;
• предоставление персональных данных – действия, направленные на ознакомление с персональными данными определённых лица или круга лиц;
• распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределённого круга лиц;
• общедоступные персональные данные – персональные данные, распространённые самим субъектом либо с его согласия или распространённые в соответствии с требованиями законодательных актов;
• специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;
• уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с договором с Оператором осуществляют обработку персональных данных от имени Оператора или в его интересах.

3. Принципы обработки персональных данных

Оператор осуществляет обработку персональных данных с соблюдением следующих принципов (статья 4 Закона):
3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка, несовместимая с первоначально заявленными целями.
3.3. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям. Не допускается избыточность обрабатываемых персональных данных.
3.4. Обработка персональных данных носит прозрачный характер. Субъекту персональных данных предоставляется соответствующая информация о такой обработке.
3.5. Оператор принимает меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости обновляет их.
3.6. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют заявленные цели обработки.

4. Условия обработки персональных данных

4.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами (статья 4, статья 5 Закона).
4.2. До получения согласия Оператор обязан предоставить субъекту информацию, указанную в статье 5 пункте 5 Закона (цели, перечень данных, срок, возможные уполномоченные лица, способы обработки и т.д.), а также разъяснить права субъекта и последствия дачи согласия или отказа.
4.3. Согласие может быть получено в письменной форме, в виде электронного документа или в иной электронной форме (отметка на интернет-ресурсе, указание кода из SMS и т.п.). Доказательство получения согласия лежит на Операторе.
4.4. Обработка персональных данных без согласия субъекта допускается в случаях, прямо установленных статьёй 6 Закона (осуществление правосудия, исполнение договора с субъектом, защита жизни и здоровья, выполнение обязанностей, предусмотренных законодательными актами, и др.).

5. Цели обработки персональных данных, перечень обрабатываемых данных, сроки и правовые основания

Оператор осуществляет обработку персональных данных следующих категорий субъектов: клиенты (заказчики) – физические лица, оформляющие заказ через Сайт или по телефону; посетители Сайта – лица, просматривающие Сайт.
5.1. Клиенты (заказчики)
Цель обработки: оформление и исполнение заказа, доставка товаров, связь с клиентом. Обрабатываются следующие данные: фамилия, имя, отчество (при наличии); номер телефона; адрес доставки (улица, дом, подъезд, этаж, квартира); дата и время доставки; тип обслуживания (доставка/самовывоз); состав заказа; история заказов. Срок хранения составляет не более 31 дня с момента оформления заявки. По истечении этого срока данные автоматически удаляются. Правовое основание – абзац 15 статьи 6 Закона (исполнение договора).
5.2. Цель обработки: направление информации о статусе заказа (sms-уведомления, уведомления в Telegram). Обрабатываются номер телефона и информация о заказе. Срок хранения – до 31 дня. Правовое основание – абзац 15 статьи 6 Закона (исполнение договора). Рассылка носит исключительно транзакционный характер и не содержит рекламных сообщений.
5.3. Цель обработки: обработка обращений и звонков. Обрабатываются фамилия, имя, отчество; номер телефона; содержание обращения. Срок хранения – 1 год после рассмотрения обращения. Правовое основание – абзац 20 статьи 6 Закона.

6. Права субъекта персональных данных

Субъект персональных данных имеет право (статьи 10–13, 15 Закона):
6.1. Отозвать своё согласие в любое время без объяснения причин, подав Оператору заявление в порядке, установленном статьёй 14 Закона (письменно или в виде электронного документа). Оператор обязан в 15-дневный срок прекратить обработку и удалить данные (если нет иных законных оснований).
6.2. Получить информацию, касающуюся обработки его персональных данных (подтверждение факта обработки, правовые основания, цели, срок, наименование оператора, сведения об уполномоченных лицах и др.). Заявление подаётся в порядке статьи 14 Закона. Оператор предоставляет информацию бесплатно в течение 5 рабочих дней (если иной срок не установлен законодательством).
6.3. Получить информацию о предоставлении своих персональных данных третьим лицам – один раз в календарный год бесплатно. Оператор предоставляет сведения в течение 15 дней после получения заявления.
6.4. Требовать изменения (уточнения) персональных данных, если они являются неполными, устаревшими или неточными. К заявлению необходимо приложить подтверждающие документы или их заверенные копии. Оператор вносит изменения в течение 15 дней либо уведомляет об отказе.
6.5. Требовать прекращения обработки и (или) удаления персональных данных при отсутствии законных оснований для обработки. Оператор обязан выполнить требование в 15-дневный срок или уведомить об отказе с указанием причин.
6.6. Обжаловать действия (бездействие) и решения Оператора (уполномоченного лица) в уполномоченный орган по защите прав субъектов персональных данных (Национальный центр защиты персональных данных Республики Беларусь), а решение уполномоченного органа – в судебном порядке.

7. Обязанности оператора

Оператор обязан (статья 16 Закона):
7.1. Разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных.
7.2. Получать согласие субъекта, за исключением случаев, предусмотренных Законом.
7.3. Обеспечивать защиту персональных данных в процессе их обработки.
7.4. Предоставлять субъекту информацию о его персональных данных и о предоставлении данных третьим лицам (в установленных Законом случаях).
7.5. Вносить изменения в неполные, устаревшие или неточные персональные данные (если иной порядок не установлен законодательством).
7.6. Прекращать обработку, удалять или блокировать персональные данные при отсутствии оснований для обработки.
7.7. Уведомлять уполномоченный орган о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3 рабочих дней после того, как Оператору стало известно о таких нарушениях.
7.8. Выполнять иные требования уполномоченного органа об устранении нарушений законодательства о персональных данных.
7.9. Опубликовать настоящую Политику и обеспечить неограниченный доступ к ней, в том числе с использованием глобальной компьютерной сети Интернет, до начала обработки персональных данных.
7.10. Назначено лицо, ответственное за внутренний контроль – директор Азарко Сергей Валерьевич.

8. Меры по обеспечению защиты персональных данных

8.1. Оператор принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий (статья 17 Закона).
8.2. Обязательные меры, реализуемые Оператором:

• назначение ответственного за внутренний контроль (см. п. 7.10);
• издание документов, определяющих политику в отношении обработки персональных данных (настоящая Политика и иные внутренние акты);
• ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных и требованиями по защите;
• установление порядка доступа к персональным данным;
• осуществление технической и криптографической защиты персональных данных в соответствии с классификацией информационных ресурсов (систем), определяемой уполномоченным органом.

8.3. Классификация информационных ресурсов (систем), содержащих персональные данные, осуществляется уполномоченным органом. Оператор обеспечивает соответствие предъявляемым требованиям.

9. Трансграничная передача персональных данных

9.1. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (статья 9 Закона).
9.2. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты, определяется уполномоченным органом (Национальным центром защиты персональных данных).
9.3. Трансграничная передача возможна без наличия надлежащего уровня защиты только в исключительных случаях, предусмотренных статьёй 9 пунктом 1 Закона:

• с согласия субъекта (при условии информирования о рисках);
• для исполнения договора с субъектом;
• для защиты жизни, здоровья субъекта;
• в рамках международных договоров Республики Беларусь;
• по разрешению уполномоченного органа и др.

9.4. Оператор осуществляет трансграничную передачу персональных данных.
9.4.1. В рамках использования платформы Tilda Publishing, предоставляющей услуги хостинга и CDN, персональные данные субъектов могут передаваться на территорию следующих иностранных государств: Германия, США, Российская Федерация, Швейцария, Республика Казахстан. Передача персональных данных на территории Германии, Швейцарии, Российской Федерации и Республики Казахстан осуществляется в связи с тем, что указанные государства обеспечивают надлежащий уровень защиты прав субъектов персональных данных.
9.4.2. Передача персональных данных на территорию Соединенных Штатов Америки осуществляется только при наличии информированного согласия субъекта персональных данных, которое выражается путем проставления субъектом отметки (галочки) о согласии с настоящей Политикой при заполнении форм на Сайте. Проставляя такую отметку, субъект подтверждает, что ознакомлен и согласен с возможной передачей его персональных данных на территорию Соединенных Штатов Америки.

10. Обработка специальных персональных данных

10.1. Оператор не собирает и не обрабатывает специальные персональные данные (о расе, национальности, политических взглядах, религиозных или иных убеждениях, здоровье, половой жизни, биометрические и генетические данные) без согласия субъекта, за исключением случаев, прямо предусмотренных статьёй 8 Закона (оформление трудовых отношений, назначение пенсий, осуществление правосудия, национальная безопасность и т.д.).
10.2. Обработка персональных данных осуществляется Оператором с использованием средств автоматизации и без использования таких средств (на бумажных носителях) в соответствии с законодательством.

11. Ответственность за нарушение законодательства о персональных данных

11.1. Лица, виновные в нарушении требований Закона, несут ответственность, предусмотренную законодательными актами Республики Беларусь (статья 19 Закона).
11.2. Моральный вред, причинённый субъекту персональных данных вследствие нарушения его прав, подлежит возмещению независимо от возмещения имущественного вреда и убытков.

12. Заключительные положения

12.1. По всем вопросам, связанным с обработкой персональных данных, субъект может обратиться к Оператору:

• по электронной почте: vilajkon@gmail.com
• по почтовому адресу: г. Барановичи, 2-й пер водопроводный 25 Е
• в письменной форме лично или через представителя.

12.2. Заявления субъекта должны соответствовать требованиям статьи 14 Закона: содержать фамилию, имя, отчество, дату рождения, идентификационный номер (при его наличии или номер документа, удостоверяющего личность – если эти данные указывались при даче согласия), изложение сути требований, личную подпись или электронную цифровую подпись.

13. Использование файлов cookie и аналогичных технологий

13.1. Сайт использует файлы cookie для обеспечения работоспособности, сбора статистики, анализа поведения пользователей и улучшения качества услуг.
13.2. При первом посещении Сайта пользователю показывается баннер с предложением настроить параметры cookie. Пользователь может дать согласие на все cookie, отказаться от всех, кроме обязательных, или настроить параметры.
13.3. Обязательные (технические) файлы cookie, необходимые для функционирования Сайта, не требуют согласия Пользователя. Согласие требуется для аналитических и маркетинговых cookie.
13.4. Пользователь может в любой момент изменить настройки cookie через интерфейс Сайта (ссылка «Настройки cookie» в подвале сайта) или удалить cookie через настройки своего браузера. Отключение некоторых видов cookie может привести к некорректной работе отдельных функций Сайта.

14. Изменение Политики

14.1. Настоящая Политика может быть изменена Оператором в одностороннем порядке при изменении законодательства или внутренних процессов обработки. Новая версия публикуется на сайте https://vilaikon.by.
14.2. О существенных изменениях в Политике, влияющих на права субъектов персональных данных, Оператор уведомляет субъектов путем публикации на Сайте не менее чем за 7 дней до вступления в силу изменений.