УТВЕРЖДЕНО
Приказ директора ООО «Сиба-Вендинг»
от «15» _мая___ 2026 г. № _1__
ПОЛИТИКА
ООО «Сиба-Вендинг» в отношении обработки
персональных данных
ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон) и определяет порядок обработки персональных данных, а также меры по обеспечению безопасности персональных данных в обществе с ограниченной ответственностью «Сиба-Вендинг» (далее — Оператор).
1.2. Политика является общедоступным документом и подлежит размещению на официальных сайтах Оператора siba-vending.by, lavazzafirma.by и siba-cafe.by, а также доведению до сведения пользователей мобильного приложения «SIBA Cafe».
1.3. Оператор осуществляет обработку персональных данных с соблюдением принципов законности, соразмерности и прозрачности целям обработки, а также с обеспечением надлежащей защиты обрабатываемых персональных данных.
1.4. Действие Политики распространяется на все процессы обработки персональных данных, осуществляемые Оператором как с использованием средств автоматизации, так и без таковых.
ГЛАВА 2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. В настоящей Политике используются термины и их определения в значениях, установленных Законом.
Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.
Оператор — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Согласие субъекта персональных данных — свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
ГЛАВА 3. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
3.1. Полное наименование: общество с ограниченной ответственностью «Сиба-Вендинг».
3.2. Сокращённое наименование: ООО «Сиба-Вендинг».
3.3. УНП: 191301671.
3.4. Место нахождения: 220089, г. Минск, ул. Уманская, д. 54, комн. 3а, пом. 9 (третий этаж паркинга).
3.5. Контактный телефон: +375 (29) 390-89-38.
3.6. Адрес электронной почты для обращений по вопросам обработки персональных данных: b2b@siba-vending.by.
3.7. Ответственное лицо за осуществление внутреннего контроля за обработкой персональных данных назначается приказом директора Оператора.
ГЛАВА 4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор осуществляет обработку персональных данных в следующих целях:
4.1.1. оформление и исполнение трудовых отношений с работниками, ведение кадрового учёта;
4.1.2. начисление и выплата заработной платы, исчисление и уплата налогов, сборов и страховых взносов;
4.1.3. функционирование программы лояльности «SIBA Cafe», включая регистрацию участников, идентификацию участника при покупках, начисление и списание бонусов, информирование участника о состоянии бонусного счёта;
4.1.4. направление маркетинговой и рекламной информации (при наличии отдельного согласия субъекта);
4.1.5. обеспечение общественной безопасности и сохранности имущества в помещениях кофеен посредством видеонаблюдения;
4.1.6. рассмотрение обращений и запросов клиентов, направление ответов на них;
4.1.7. заключение и исполнение гражданско-правовых договоров с контрагентами, ведение хозяйственной деятельности;
4.1.8. исполнение иных обязанностей, возложенных на Оператора законодательством Республики Беларусь.
4.1.9. организация и проведение практики обучающихся;
4.1.10. обеспечение пропускного режима и контроля доступа в помещения Оператора.
4.1.11. рассмотрение заявлений субъектов персональных данных.
4.1.12. обеспечение функционирования документооборота и архивного хранения документов.
4.1.13. предоставление информации государственным органам и иным организациям в случаях, предусмотренных законодательством.
4.1.14. участие в судебных разбирательствах, исполнительном производстве и защите прав и законных интересов Оператора.
4.2. Обработка персональных данных в иных целях, не указанных в пункте 4.1 настоящей Политики, не допускается.
ГЛАВА 5. КАТЕГОРИИ СУБЪЕКТОВ И ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
5.1.1. работники Оператора и лица, претендующие на трудоустройство;
5.1.2. клиенты — посетители сети кофеен «Lavazza», «Сиба-Вендинг», «Lavazza Сиба-Кафе», «Lavazza Firma», «Сиба» и пользователи мобильного приложения «SIBA Cafe»;
5.1.3. представители контрагентов — физические лица, действующие от имени юридических лиц либо являющиеся индивидуальными предпринимателями;
5.1.4. физические лица, направившие в адрес Оператора обращения, отзывы, запросы.
5.1.5. посетители помещений Оператора;
5.1.6. лица, проходящие практику;
5.1.7. представители государственных органов и иных организаций;
5.1.8. иные физические лица, персональные данные которых обрабатываются Оператором в рамках осуществления хозяйственной деятельности.
5.2. Перечень обрабатываемых персональных данных определяется применительно к каждому процессу обработки и закрепляется в Перечне процессов обработки персональных данных, утверждаемом Оператором.
5.3. Оператор не осуществляет обработку специальных персональных данных, за исключением случаев, когда такая обработка прямо предусмотрена законодательством Республики Беларусь.
5.4. Оператор не осуществляет обработку генетических персональных данных. Обработка биометрических персональных данных может осуществляться в случаях, предусмотренных законодательством Республики Беларусь либо с согласия субъекта персональных данных, в том числе при использовании систем контроля и управления доступом (СКУД).
ГЛАВА 6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
6.1. Обработка персональных данных осуществляется Оператором на следующих правовых основаниях:
6.1.1. согласие субъекта персональных данных, выраженное в письменной форме либо в электронном виде с использованием технических средств, обеспечивающих фиксацию факта получения согласия (в том числе посредством отметки в мобильном приложении при регистрации);
6.1.1-1. Согласие субъекта персональных данных может предоставляться в письменной форме, в виде электронного документа, посредством проставления отметки на сайте или в мобильном приложении, а также иным способом, позволяющим установить факт получения согласия.
6.1.2. необходимость обработки для исполнения обязательств, предусмотренных законодательством Республики Беларусь (трудовое, налоговое законодательство, законодательство о бухгалтерском учёте и иные);
6.1.3. необходимость обработки для заключения и (или) исполнения договора, стороной которого является субъект персональных данных, либо договора, заключаемого по инициативе субъекта персональных данных;
6.1.4. необходимость обработки для защиты жизненно важных интересов субъекта персональных данных либо иных физических лиц;
6.1.5. иные случаи, предусмотренные пунктом 1 статьи 6 Закона.
6.2. Применительно к каждому процессу обработки персональных данных Оператор определяет конкретное правовое основание и фиксирует его в Перечне процессов обработки персональных данных.
ГЛАВА 7. СПОСОБЫ И СРОКИ ОБРАБОТКИ
7.1. Обработка персональных данных осуществляется Оператором следующими способами:
7.1.1. с использованием средств автоматизации — в информационных системах Оператора (учётная система 1С: Управление нашей фирмой, мобильное приложение «SIBA Cafe», веб-сайт Оператора, CRM-системы, система видеонаблюдения и иные информационные ресурсы, используемые Оператором).
7.1.2. без использования средств автоматизации — на бумажных носителях (личные дела работников, договоры, первичные учётные документы).
7.2. Сроки обработки и хранения персональных данных определяются:
7.2.1. сроком, необходимым для достижения целей обработки персональных данных;
7.2.2. сроком действия согласия субъекта персональных данных (если обработка осуществляется на основании согласия);
7.2.3. сроками хранения документов, установленными законодательством Республики Беларусь, в том числе Перечнем типовых документов с указанием сроков хранения.
7.3. По достижении целей обработки, истечении срока действия согласия либо в случае отзыва согласия субъектом персональных данных Оператор прекращает обработку и удаляет (уничтожает) персональные данные в порядке, установленном законодательством, если иные сроки хранения не установлены законодательством.
ГЛАВА 8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор передаёт персональные данные третьим лицам только в случаях, предусмотренных законодательством Республики Беларусь, либо с согласия субъекта персональных данных.
8.2. Получателями персональных данных могут являться:
8.2.1. государственные органы и иные организации, имеющие право получать персональные данные в соответствии с законодательством (Фонд социальной защиты населения, налоговые органы, банки в рамках зарплатных проектов, правоохранительные органы — по их обоснованному запросу);
8.2.2. уполномоченные лица, привлекаемые Оператором для обработки персональных данных от его имени и в его интересах, на основании заключённых договоров, содержащих требования по обеспечению защиты персональных данных.
8.3. Трансграничная передача персональных данных на территорию иностранных государств Оператором не осуществляется. В случае возникновения необходимости такой передачи Оператор обеспечивает соблюдение требований статьи 9 Закона.
ГЛАВА 9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
9.2. Правовые и организационные меры включают:
9.2.1. издание настоящей Политики и иных локальных правовых актов по вопросам обработки персональных данных;
9.2.2. назначение ответственного лица за осуществление внутреннего контроля за обработкой персональных данных;
9.2.3. ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о защите персональных данных и локальных правовых актов Оператора;
9.2.4. ограничение круга лиц, имеющих доступ к персональным данным, кругом работников, которым такой доступ необходим для выполнения их должностных обязанностей;
9.2.5. оформление обязательств работников о неразглашении персональных данных, ставших им известными в связи с выполнением должностных обязанностей.
9.3. Технические меры включают:
9.3.1. разграничение прав доступа пользователей к информационным системам Оператора;
9.3.2. применение средств защиты от несанкционированного доступа, антивирусной защиты, средств защиты каналов передачи данных;
9.3.3. резервное копирование данных и обеспечение возможности их восстановления;
9.3.4. использование парольной политики, обеспечивающей надлежащую стойкость учётных данных пользователей;
9.3.5. ограничение физического доступа в помещения, где осуществляется обработка персональных данных и размещены технические средства информационных систем.
9.4. Оператор вправе использовать системы видеонаблюдения и системы контроля и управления доступом (СКУД) в целях обеспечения безопасности физических лиц, имущества, соблюдения пропускного режима и контроля доступа в помещения.
9.5. При использовании СКУД обработка биометрических персональных данных осуществляется исключительно при наличии согласия субъекта персональных данных либо иных предусмотренных законодательством оснований.
ГЛАВА 10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъект персональных данных имеет право:
10.1.1. на получение информации, касающейся обработки его персональных данных, в объёме, предусмотренном статьёй 11 Закона;
10.1.2. требовать от Оператора внесения изменений в его персональные данные в случае их неполноты, устарелости либо неточности;
10.1.3. получать от Оператора информацию о предоставлении его персональных данных третьим лицам;
10.1.4. отозвать согласие на обработку персональных данных полностью или в части;
10.1.5. требовать прекращения обработки своих персональных данных и (или) их удаления при отсутствии оснований для обработки, предусмотренных Законом и иными законодательными актами;
10.1.6. обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь и (или) в суд.
ГЛАВА 11. ПОРЯДОК РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТА
11.1. Для реализации своих прав субъект персональных данных направляет Оператору соответствующий запрос (заявление) одним из следующих способов:
11.1.1. в письменной форме на почтовый адрес Оператора, указанный в пункте 3.4 настоящей Политики;
11.1.2. в форме электронного документа на адрес электронной почты Оператора, указанный в пункте 3.6 настоящей Политики;
11.1.3. лично — путём личной явки к Оператору по адресу, указанному в пункте 3.4 настоящей Политики.
11.2. Запрос (заявление) должен содержать:
11.2.1. фамилию, собственное имя, отчество (при наличии) субъекта персональных данных;
11.2.2. адрес места жительства (места пребывания) субъекта персональных данных;
11.2.3. дату рождения субъекта персональных данных;
11.2.4. идентификационный номер субъекта персональных данных (при отсутствии — номер документа, удостоверяющего личность);
11.2.5. изложение существа требований, личную подпись субъекта персональных данных (для письменного запроса) либо электронную цифровую подпись (для электронного документа).
11.3. Оператор рассматривает запросы субъектов персональных данных и направляет ответ в сроки, установленные статьями 11–14 Закона, но не позднее 15 рабочих дней со дня получения запроса.
11.4. При отказе в удовлетворении требований субъекта персональных данных Оператор обязан мотивировать такой отказ со ссылкой на нормы законодательства.
ГЛАВА 12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Настоящая Политика вступает в силу со дня её утверждения приказом директора Оператора и действует бессрочно — до её отмены или замены новой редакцией.
12.2. Изменения и дополнения в Политику вносятся в порядке, установленном для её утверждения. Актуальная редакция Политики размещается на официальных сайтах Оператораsiba-vending.by, lavazzafirma.by, siba-cafe.by и в мобильном приложении «SIBA Cafe».
12.3. Контроль за соблюдением настоящей Политики возлагается на ответственное лицо за осуществление внутреннего контроля за обработкой персональных данных.
12.4. По всем вопросам, не урегулированным настоящей Политикой, Оператор руководствуется законодательством Республики Беларусь о защите персональных данных.
Директор общества _____________ В.В.Смирнов