Skip navigation EPAM

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНОСТРАННОМ ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЭПАМ Системз» (ИООО «ЭПАМ Системз»)

Редакция от «15» ноября 2021 г.
(1-я редакция)

г. Минск

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.2. Термины в настоящем Положении:

1.2.1. Под «Документами» понимается понимается любая информация и данные, включая Персональные данные, как содержащиеся в бумажной документации, так и хранящиеся в электронном виде на  компьютерах, серверах и иных устройствах хранения данных, принадлежащих Оператору или используемых Оператором на основании гражданско-правовых договоров, а также в любом другом хранилище данных, используемом Оператором.

1.2.2. Под «Персональными данными» понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (далее - «Субъект персональных данных», «Субьект»), включая:

1.2.2.1. основную информацию о Субъекте, то есть то есть его (ее) идентификационный номер, ФИО, пол, дата (число/месяц/год) и место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, автобиография, данные о смерти или объявлении Субъекта умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным, паспортные данные и все сведения, содержащиеся в документе, удостоверяющем личность (включая паспорт, вид на жительство, удостоверение беженца, иной документ, удостоверяющий личность, в том числе иностранного гражданина и лица без гражданства, беженца, предусмотренный законодательством Республики Беларусь или признаваемый в соответствии с международным договором Республики Беларусь в качестве документа, удостоверяющего личность), сведения о поездках и пребывании за границей, о визах (сроки поездки, направление, цель поездки и др.), информация о государствах, в которых Субъект проживал, работал или учился, за последние 10 лет, предшествующие дате подписания настоящего Согласия, период такого проживания, работы или учебы, сведения о цели приезда в Республику Беларусь, о миграционном учете, включая копии всех вышеуказанных документов;

1.2.2.2. сведения о трудовой деятельности, имеющемся опыте работы, выполняемых работах/оказываемых услугах, включая сведения о роде занятий (статус работающего, безработного, неработающего, место работы, дата трудоустройства, дата постановки на учет в качестве безработного, дата увольнения, дата снятия с учета в качестве безработного), включая всю информацию, содержащуюся в трудовом договоре и трудовой книжке, в том числе о предыдущих местах работы (наименование нанимателей, их адреса местонахождения, номера телефонов и адреса электронной почты, даты начала и окончания работы, должность, подразделение, сведения о поощрениях и награждениях, рекомендации), сведения о текущих условиях, характере и виде работы (профессия, должность, подразделение, табельный номер, должностной оклад или тарифная ставка, доплаты надбавки, поощрительные выплаты, место работы, трудовая функция, должностные обязанности, срок начала работы и трудового договора, режим труда и отдыха, трудовой стаж (стаж работы), данные по отпускам и отсутствию на работе по иным причинам, листки нетрудоспособности и справки о временной нетрудоспособности, сведения о поощрениях, награждениях и взысканиях),  информация о командировках/иных поездках по заданию Оператора (сроках, продолжительности, направлениях), о готовности к командировкам и релокации, результаты оценки эффективности работы (по итогам аттестации, обратной связи, интервью), проведенной работниками Оператора, в том числе аудио- и видеозапись интервью, характеристика Субъекта, иные сведения о работе, указание которых предусмотрено унифицированными формами первичной учетной документации по учету труда и его оплаты (в том числе личным листком по учету кадров), приказы по личному составу, графики отпусков, командировочные удостоверения, табель учета рабочего времени, расчетные и платежные ведомости и др.), сведения о правительственных наградах и почетных званиях, сведения об участии в выборных органах, в профессиональных союзах (ассоциациях), сведения, содержащиеся в специальном разрешении на право занятия трудовой деятельностью в Республике Беларусь в отношении иностранного гражданина или лица без гражданства, включая копии всех вышеуказанных документов;, результаты оценки эффективности (по итогам интервью, собеседований, аттестации, обратной связи), проведенной работниками Оператора,  результаты (итоги) и ход собеседования, проведенного работниками Оператора с Субъектом персональных данных, ответы на вопросы, заданные в ходе такого собеседования, в том числе аудио- и видеозапись собеседования, интервью, результат выполнения Субъектом тестовых заданий Оператора, переписка по электронной почте с представителями Оператора или других Юридических лиц ЭПАМ; сведения о сотрудниках предыдущих нанимателей либо клиентов, с которыми Субъект взаимодействовал в ходе осуществления трудовой деятельности, выполнения работ, оказания услуг и которые могут дать рекомендации о квалификации Субъекта, качестве выполняемых им работ, оказываемых услуг;

1.2.2.3. сведения об образовании, навыках и социальном статусе, в том числе в том опыт работы, сведения об участии в проектах, а также мероприятиях, организуемых Оператором и/или Юридическими лицами ЭПАМ либо с их участием и/или на которых Субъект представляет Оператора, профессиональные сертификаты, участие в профессиональных ассоциациях, сведения об ученых званиях и степенях, образование (в том числе все сведения, содержащиеся в документах об образовании, такие как наименование и адрес учебного заведения (учреждения образования), реквизиты документа об образовании (наименование, серия, номер, дата выдачи), дата поступления, дата окончания, факультет или отделение, полученная квалификация, направление и специальность, уровень владения иностранными языками, сведения об аттестации, повышении квалификации и профессиональной переподготовке, реквизиты подтверждающих документов, сведения о научных трудах и изобретениях, о наличии водительского удостоверения, его номере и категории, семейное положение и состав семьи, (данные о родителях (отец, мать), супруге, ребенке (детях), братьях, сестрах Субъекта: степень родства, фамилия, имя, отчество, год рождения членов семьи, информация о наличии детей, в том числе несовершеннолетних и детей-инвалидов), кроме того по инициативе Субъекта могут обрабатываться следующие категории персональных данных: сведения об инвалидности (Субъекта, членов его (ее) семьи), в том числе содержащиеся в справке, подтверждающей факт установления инвалидности, индивидуальной программе реабилитации инвалида, иные сведения и документы, подтверждающие особый статус Субъекта и членов его (ее) семьи, позволяющий получить предусмотренные законодательством или локальными актами Оператора льготы, компенсации и т.п., включая копии всех вышеуказанных документов;

1.2.2.4. сведения о воинском учете, об отношении к воинской обязанности, данные об исполнении воинской обязанности: дата приема на воинский учет, дата снятия (исключения) с воинского учета, данные о воинском звании и военно-учетной специальности и др. (включая все сведения, содержащиеся в военном билете и других документах воинского учета, а также копии вышеуказанных документов);

1.2.2.5. контактные данные, в том числе адрес электронной почты, номер телефона (служебный, мобильный), контакты в чатах и других электронных ресурсах, ссылки на профили в социальных сетях, информацию из социальной сети, к которой Субъект предоставил(а) доступ, включая сетевой идентификатор (ID) своего аккаунта в социальных сетях, контакты или список «друзей»,  а также информация, которую Субъект опубликовал(а), сделав общедоступной, информация о заявках/откликах на вакансии, сведения, собираемые в автоматическом режиме: IP-адреса устройств, используемых Субъектом в ходе посещения Сайтов (термин «Сайт» приводится в п. 1.2.13 настоящего Положения), взаимодействия с Оператором, выполнения трудовых обязанностей по заключенному с Оператором трудовому договору, обязательств по заключенным с Оператором гражданско-правовым договорам,их модели, тип устройств, история браузера, дата и время посещения Сайтов (сессии), обновления и удаления данных, сведения о действиях на Сайте (в т.ч. о просматриваемой рекламе, использовании сервисов Сайта), файлы cookies, в том числе с использованием метрических программ (систем) в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Google Tag Manager, Mixpanel, Hotjar и других;

1.2.2.6. финансовую информацию, в том числе в том числе сведения о доходах (включая размер заработной платы, аванса, доплаты, надбавки, компенсации, меры поощрения, размер вознаграждения за выполняемый работы, оказываемые услуги и др.), сведения, содержащиеся в расчетном листке, сведения о пенсионных отчислениях и взносах на все виды страхования, уплачиваемых налогах и сборах, размерах премий и других выплат, уплачиваемых алиментах, предоставлении материальной помощи, банковские реквизиты расчетного счета, статус налогового резидента, ИНН, сведения о регистрации в качестве индивидуального предпринимателя, номер свидетельства и дата такой регистрации страховое свидетельство, включая копии всех вышеуказанных документов;

1.2.2.7. информацию о нарушениях законодательства, имевших место на территории Республики Беларусь, в том числе о фактах привлечения к административной и уголовной ответственности, о наличии судимости Субъекта (когда и за что) или отсутствии судимости Субъекта, информация о каких-либо судебных разбирательствах с участием Субъекта персональных данных, о наличии факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;

1.2.2.8. информацию о состоянии здоровья и физических данных  Cубъекта, включая информацию о том, состоит ли Субъект на учете в психоневрологических, наркологических и других диспансерных учреждениях, фотографии и видеоматериалы, которые содержат изображения Субъекта, а также любым иным образом используют его (ее) имя, образ, черты, внешний вид и голос, информацию о наименовании (перечне), объеме, периоде (начиная с 2019 года) и стоимости оказанных Субъекту (ребенку Субъекта) медицинских услуг, оплачиваемых Оператором, по договорам, заключенным между Оператором и медицинскими центрами/ учреждениями здравоохранения (далее – медицинские центры), договор (полис) добровольного медицинского страхования, размер футболки, записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора, включая копии всех вышеуказанных документов;

и любую иную личную информацию о Субъекте персональных данных, которая может содержаться в Документах и/или которую Субъект предоставил по собственному желанию.

Персональные данные, кроме обезличенных персональных данных, по режиму доступа относятся к конфиденциальной информации, доступ к которой ограничен.

1.2.3. Под «обработкой» понимается понимается любое действие или совокупность действий, совершаемые с Персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, систематизацию, хранение, изменение, использование, распространение, предоставление, включая трансграничную передачу лицам, указанным в настоящем согласии, обезличивание, блокирование, удаление.

1.2.4. Под «Юридическими лицами ЭПАМ» понимаются юридические лица, список которых приведен в Приложении № 1 к настоящему Положению.

1.2.5. Под «Оператором» понимается Иностранное общество с ограниченной ответственностью «ЭПАМ Системз», расположенное по адресу 220141, ул. Купревича д. 1 корп. 1, комн. 110, г. Минск, Республика Беларусь, зарегистрированное и действующее в качестве юридического лица в соответствии с законодательством Республики Беларусь, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.2.6. Под «Субъектами персональных данных» («Субъектами») понимаются любые физические лица, обработка персональных данных которых осуществляется Оператором. К ним, в частности, относятся работники, контрагенты Оператора, обучающиеся, проходящие практику у Оператора, посетители офисов Оператора, представители третьих лиц, с которыми Оператор взаимодействует в процессе осуществления своей хозяйственной деятельности, а также иные физические лица.

1.2.7. Под «Конфиденциальностью персональных данных» понимается обязательное для соблюдения требование не допускать несанкционированную обработку персональных данных, в том числе распространение, раскрытие, передачу, предоставление, использование персональных данных, а также несанкционированный доступ третьих лиц к персональным данным без согласия Субъекта персональных данных, Оператора или наличия иного законного основания.

1.2.8. Под «Информационной системой» понимается информационная система, созданная и/или используемая с целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ, в которой Оператор и/или Юридические лица ЭПАМ хранят и/или обрабатывают персональные данные. К таким Информационным системам, в частности, но не ограничиваясь, относятся:

UPSA (upsa.epam.com), PEOPLE.EPAM (people.epam.com) – информационные системы, предназначенные для обработки персональных данных работников, подрядчиков, являющихся физическими лицами, Оператора и Юридических лиц ЭПАМ, а также Практикантов, которые задействованы в реализации проектов для клиентов Оператора и Юридических лиц ЭПАМ либо осуществляют сопровождение таких проектов (юридическое, кадровое, финансовое, организационное и т.п.);

Concur – информационная система, предназначенная для учета сведений о поездках работников Оператора и Юридических лиц ЭПАМ, других субъектов персональных данных, связанных с исполнением их трудовых обязанностей и/или с реализацией проектов для клиентов Оператора и Юридических лиц ЭПАМ, а также для учета расходов и затрат по таким поездкам;

Staffing desk – информационная система автоматизации подбора персонала, с помощью которой осуществляется комплектация персонала на открытые вакансии Оператора и Юридических лиц ЭПАМ;

Telescope – информационная система, интегрированная с UPSA/ PEOPLE.EPAM, но имеющая отличающийся интерфейс, предназначенная для обработки персональных данных Работников и Подрядчиков, являющихся физическими лицами, Оператора и Юридических лиц ЭПАМ, а также Практикантов, которые задействованы в реализации проектов для клиентов Оператора и Юридических лиц ЭПАМ либо осуществляют сопровождение таких проектов (юридическое, кадровое, финансовое, организационное и т.п.);

– информационная система, с помощью которой осуществляется бухгалтерский учет у Оператора и в которой содержатся персональные данные Субъектов;

Yammer – внутрикорпоративная социальная сеть группы компаний, в которую входит Оператор и Юридические лица ЭПАМ, в которой Субъекты могут зарегистрироваться, т.е. внести свои персональные данные самостоятельно, сделав их доступными для всех работников, Подрядчиков, Практикантов Оператора и Юридических лиц ЭПАМ, которые также зарегистрировались в данной социальной сети, и которая предназначена для общения между работниками, Подрядчиками, Практикантами Оператора и Юридических лиц ЭПАМ по вопросам, связанным с осуществлением работы, прохождением практики, выполненением работ, оказанием услуг для Оператора и Юридических лиц ЭПАМ, а также на другие, не связанные с этим личные темы.

1.2.9. Под «Соискателями» понимаются физические лица, с которыми Оператором (непосредственно либо через третье лицо) осуществляется взаимодействие (рассмотрение резюме, проведение собеседований и переговоров, предоставление и получения тестовых заданий и т.п.) с целью принятия решения о трудоустройстве таких Субъектов у Оператора.  Персональные данные таких Соискателей могут быть получены Оператором следующими способами:

1) получение из общедоступных источников персональных данных, размещенных там самим Субъектом или с его согласия, и источников, где персональные данные раскрыты неопределенному кругу лиц или разрешены для распространения самим Субъектом (в том числе размещение резюме в сети Интернет, информации о себе в социальных сетях и т.п.);

2) получение персональных данных от самого Субъекта в ходе взаимодействия с ним по телефону, электронной почте, с помощью иных средств коммуникации, а также при проведении собеседования с Субъектом (в том числе очного либо дистанционного посредством сети Интернет), включая аудио- и видеозапись собеседований;

3) получение персональных данных о Субъекте от третьего лица, с которым у Оператора заключен договор с целью подбора таким третьим лицом персонала для Оператора. В таком случае за соблюдение всех требований законодательства в области обработки персональных данных, а также за получение от Субъекта всех необходимых согласий, в том числе на передачу его персональных данных Оператору, отвечает такое третье лицо.

1.2.10. Под «Практикантами» в настоящем Положении понимаются физические лица, получающие образование любого вида и уровня, по любым образовательным программам в организациях, осуществляющих образовательную деятельность, и проходящие практику у Оператора.

1.2.11. Под «Подрядчиками» в настоящем Положении понимаются физические лица, с которыми у Оператора заключен гражданско-правовой договор любого вида (в том числе на оказание услуг, выполнение работ, поставку товаров и др.), в том числе являющиеся индивидуальными предпринимателями.

1.2.12. Под «Потенциальными контрагентами» понимаются физические лица, с которыми Оператором (непосредственно либо через третье лицо) осуществляется взаимодействие (рассмотрение информации о контрагенте, проведение переговоров и т.п.) с целью принятия решения о заключении между ним и Оператором гражданско-правового договора.  Персональные данные таких Потенциальных контрагентов могут быть получены Оператором следующими способами:

1) получение из общедоступных источников персональных данных, размещенных там самим Субъектом или с его согласия, и источников, где персональные данные раскрыты неопределенному кругу лиц или разрешены для распространения самим Субъектом (в том числе в сети Интернет, социальных сетях и т.п.);

2) получение персональных данных от самого Субъекта в ходе взаимодействия с ним по телефону, электронной почте, с помощью иных средств коммуникации, а также при проведении переговоров с Субъектом (в том числе очного либо дистанционного посредством сети Интернет);

3) получение персональных данных о Субъекте от третьего лица, с которым у Оператора заключен договор с целью поиска третьим лицом для Оператора подходящих контрагентов для оказания ими Оператору услуг, выполнения ими для Оператора работ в случае, когда такими контрагентами оказались физические лица. В таком случае за соблюдение всех требований законодательства в области обработки персональных данных, а также за получение от Субъекта всех необходимых согласий, в том числе на передачу его персональных данных Оператору, отвечает такое третье лицо.

1.2.13. Под «Сайтом» в настоящем Положении понимается любой сайт в сети Интернет (интернет-ресурс), администрируемый Оператором или Юридическим лицом ЭПАМ.

1.3. Основные права Субъекта:

1.3.1. Субъект персональных данных на основании поданного Оператору заявления (запроса) в письменной форме либо в виде электронного документа (если иной порядок не установлен законодательством) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);

2) правовые основания и цели обработки персональных данных;

3) его персональные данные и источник их получения;

4) наименование и место нахождения Оператора, информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;

5) срок, на который дано его согласие;

6) иную информацию, предусмотренную законодательством.

Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством.

1.3.2. В случае, если сведения, указанные в п. 1.3.1 Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту персональных данных по его заявлению (запросу), Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторное заявление (запрос) в целях получения этих сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального заявления (запроса), если более короткий срок не установлен законодательством, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных.

Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторное заявление (запрос) в целях получения сведений, указанных в п. 1.3.1 Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения указанного выше срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторное заявление (запрос) наряду со сведениями, указанными в п. 1.3.1 Положения, должен содержать обоснование направления повторного заявления (запроса).

1.3.3. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные, если персональные данные являются неполными, устаревшими или неточными, с приложением соответствующих документов и/или их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные, а также вправе требовать от Оператора бесплатного прекращения обработки персональных данных, включая их удаления, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством.

1.3.4. Субъект персональных данных вправе обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

1.3.5. Субъект вправе отозвать данное им Оператору согласие на обработку персональных данных.

1.3.6. Субъект персональных данных вправе получать от  Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о персональных данных и иными законодательными актами.

1.4. Основные обязанности Субъекта:

1.4.1. Субъект обязан соблюдать Конфиденциальность персональных данных  и не допускать разглашения персональных данных других Субъектов, которые стали ему известны в связи с существованием трудовых, гражданско-правовых отношений с Оператором, прохождением практики у Оператора, посещением офисов Оператора, проведением переговоров с Оператором, получением таких персональных данных или доступа к ним от Оператора, осуществлением любого иного взаимодействия с Оператором.

1.4.2. Соблюдать требования действующего законодательства и иных нормативных актов, настоящего Положения и локальных актов Оператора.

1.4.3. При предоставлении Оператору персональных данных третьих лиц (включая, но не ограничиваясь, своих родственников, представителей своих работодателей и клиентов/контрагентов, кандидатур соискателей по вакансиям Оператора, иных лиц) предварительно получить от этих третьих лиц свободное,

однозначное, информированное, сознательное согласие на такое предоставление.

1.4.4. Субъекты, являющиеся работниками Оператора, в дополнение к указанным в пп. 1.4.1-1.4.3 настоящего Положения обязанностям, обязаны сообщать лицу, ответственному за ведение кадрового делопроизводства Оператора, по форме, установленной в Приложении № 7 к настоящему Положению, с предоставлением копий подтверждающих документов и демонстрацией их оригиналов об изменении ранее предоставленных Оператору такими субъектами, являющимися работниками Оператора, сведений, в том числе: паспортных данных или данных иного документа, удостоверяющего личность, сведений о семейном положении, о детях, адресе места жительства, номере телефона и других сведений, не позднее 5 (пяти) рабочих дней  с даты изменения таких сведений.

1.5. Основные обязанности Оператора:

1.5.1. получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;

1.5.2. предоставлять Субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;

1.5.3. разъяснять Субъекту персональных данных его права, связанные с обработкой персональных данных;

1.5.4. обеспечивать защиту персональных данных в процессе их обработки;

1.5.5. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;

1.5.6. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

1.5.7. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных Субъекта по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

1.5.8. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.

1.5.9. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящему Положению, в частности, путем:

1) размещения актуальной версии указанного документа на сайте в сети Интернет по адресу https://careers.epam.by/data-processing-consent;

2) хранения его актуальной бумажной версии в отделе кадров в офисе по месту нахождения Оператора, с которой можно ознакомиться в рабочее время работы офиса.

1.5.10. Оператор обязан сообщить Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении Субъекта персональных данных или его представителя либо в течение 5 (пяти) дней с даты получения письменного заявления (запроса) Субъекта персональных данных или его представителя.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем Субъекте персональных данных или персональных данных Субъекту персональных данных или его представителю при их обращении либо при получении письменного заявления (запроса) Субъекта персональных данных или его представителя Оператор обязан дать мотивированный ответ, содержащий ссылку на положения законодательство, являющееся основанием для такого отказа, в срок, не превышающий пять (пять) дней со дня обращения Субъекта персональных данных или его представителя либо с даты получения письменного заявления (запроса) Субъекта персональных данных или его представителя.

1.5.11. Оператор обязан предоставить безвозмездно Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных. В срок, не превышающий 15 (пятнадцать) дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, устаревшими или неточными, Оператор обязан внести в них необходимые изменения.

1.5.12. В срок, не превышающий 15 (пятнадцать) дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные, .

1.5.13. Оператор обязан уведомить Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.

1.5.14. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в срок, установленный законодательством.

1.5.15. В случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

1.5.16. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 15 (пятнадцати) дней со дня представления таких сведений и снять блокирование персональных данных.

1.5.17. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 15 (пятнадцать) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 15 (пятнадцать) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить Субъекта персональных данных или его представителя, а в случае, если обращение Субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

1.5.18. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 15 (пятнадцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных законодательством.

1.5.19. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных и если нет иного законного основания для обработки и хранения персональных данных Субъета, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 15 (пятнадцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных.

1.5.20. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 1.5.17 – 1.5.19 настоящего Положения, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством.

1.5.21.Оператор не реже одного раза в пять лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных в Национальном центре защиты персональных данных.

1.5.22. Оператор до 15 декабря 2021 г., а в последующие годы – до 15 ноября обеспечивают представление Национальному центру защиты персональных данных информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в Национальном центре защиты персональных данных.

1.5.23. Оператор устанавливает и поддерживает в актуальном состоянии: а) перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых Оператор является; б) категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные персональные данные; специальные персональные данные (кроме биометрических и генетических персональных данных); биометрические и генетические персональные данные; персональные данные, не являющиеся общедоступными или специальными; в) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами; г) срок хранения обрабатываемых персональных данных.

1.5.24. Оператор исполняет иные обязанности, предусмотренные действующим законодательством.

1.6. Основные права Оператора:

1.6.1. Оператор вправе осуществлять обработку персональных данных как с использованием средств автоматизации, так и без их использования, в соответствии с действующим законодательством и условиями предоставленных Субъектами согласий на обработку персональных данных, в том числе осуществлять предоставление персональных данных Субъектов третьим лицам и трансграничную передачу персональных данных.

1.6.2. Оператор вправе осуществлять обработку персональных данных без согласия Субъекта в случаях, предусмотренных Законом о персональных данных и другими актами законодательства.

1.6.3. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора.

1.6.4. Оператор вправе расторгнуть трудовой договор со своим работником в случае нарушения работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления, персональных данных.

2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Оператор собирает и впоследствии обрабатывает персональные данные для целей, указанных отдельно для каждой категории Субъектов в разделе 4 настоящего Положения.

2.2. Оператор осуществляет передачу, в том числе трансграничную, персональных данных Субъектов для целей, указанных в разделе 4 настоящего Положения.

3. ПРАВОВЫЕ ОСНОВАНИЯ И ОБЩИЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Основаниями обработки персональных данных Оператором являются:

3.1.1. согласие Субъекта персональных данных на обработку его персональных данных. Согласие Cубъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электроннойформе, если законодательными актами не установлена необходимость получения согласия Субъекта персональных данных только в письменной форме или в виде электронного документа.

3.1.1.1.В иной электронной форме согласие субъекта персональных данных может быть получено посредством:

проставления Cубъектом персональных данных соответствующей отметки на интернет-ресурсе (отметки/«галочки» о согласии в специально отведенном поле на Сайтах, нажатия кнопки «Принять» и иными аналогичными способами);

указания (выбора) Cубъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;

других способов, позволяющих установить факт получения согласия Субъекта персональных данных.

3.1.2. договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;

3.1.3. необходимость достижения целей, предусмотренных международным договором Республики Беларусь или законом, для осуществления и выполнения возложенных законодательством Республики Беларусь на Оператора функций, полномочий и обязанностей;

3.1.4. необходимость защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;

3.1.5. необходимость осуществления прав и законных интересов Оператора или третьих лиц либо достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;

3.1.6. обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

3.1.7. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством.

3.2. При наличии законного основания, Оператором могут обрабатываться следующие категории персональных данных:

3.2.1. специальная категория персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных, философских  или других убеждений,  здоровья и половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные);

3.2.2. биометрические персональные данные (информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое) и которая используется Оператором для установления личности Субъекта персональных данных;

3.2.3. иные персональные данные, не относящиеся к указанным в пп. 3.2.1 и 3.2.2 Положения.

3.3. Обработка персональных данных работников Оператора осуществляется на основании положений Закона о персональных данных и иных актов законодательства.

3.4. Обработка персональных данных, содержащихся в обращениях (заявлениях) граждан (Субъектов) или третьих лиц, в том числе прилагаемых к ним документах, поступивших непосредственно от граждан или направленных государственным органом, органом местного самоуправления или иным юридическим лицом для рассмотрения по существу, осуществляется без получения Оператором согласия данных Субъектов, а также предполагается, что согласие Субъекта на обработку его персональных данных получено лицом, направляющим Оператору соответствующие обращения (заявления).

3.5. Обработка персональных данных о бенефициарных владельцах оператора осуществляется на основании законодательства о предотвращении легализации доходов, полученных преступным путем, и финансирования террористической деятельности без получения Оператором согласия данных Субъектов.

3.6. Источниками получения персональных данных Субъектов персональных данных являются:

3.6.1. информация, документы, содержащие персональные данные, предоставленные Оператору самим Субъектом персональных данных;

3.6.2. информация, документы, содержащие персональные данные, полученные от третьих лиц, осуществляющих обработку персональных данных на законных основаниях, в том числе от родственников Субъектов, государственных органов, других организаций, индивидуальных предпринимателей, физических лиц;

3.6.3. информация, содержащая персональные данные, полученная из общедоступных источников персональных данных и источников, где персональные данные раскрыты неопределенному кругу лиц или разрешены для распространения самим Субъектом, в том числе:

1) страницы в социальных сетях в сети Интернет (ВКонтакте, Одноклассники, Facebook, Instagram, LinkedIn и т.п.);

2) порталы для поиска работы, где Субъекты самостоятельно размещают свои резюме;

3) внутренние Информационные системы и Сайты Оператора и Юридических лиц ЭПАМ (Telescope, UPSA, Yammer, Concur, www.epam-group.ru, PEOPLE.EPAM и т.п.), где Оператор, Юридические лица ЭПАМ собирают, хранят и обрабатывают персональные данные, а работники, Подрядчики, Практиканты, иные Субъекты сами вправе указать либо не указывать некоторые из своих персональных данных;

4) другие общедоступные источники персональных данных и источники, где персональные данные раскрыты неопределенному кругу лиц или разрешены для распространения самим Субъектом;

3.6.4. информация, документы, содержащие персональные данные и созданные/полученные в процессе выполнения трудовых и гражданско-правовых договоров, заключенных между Субъектами персональных данных и Оператором, а также в ходе осуществления иного взаимодействия между Оператором и Субъектами, в том числе записи систем видеонаблюдения (видеосъемки);

3.6.5. иные законные источники получения персональных данных.

3.7. Обработка персональных данных организована Оператором на принципах:

3.7.1. законности целей и способов обработки персональных данных;

3.7.2. точности, актуальности и достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

3.7.3. обработки только персональных данных, которые отвечают целям их обработки;

3.7.4. недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

3.7.5. обработки, в том числе хранения, персональных данных на материальных носителях, в электронном виде в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных и (или) согласие Субъекта персональных данных, если иное не установлено Законом о защите персональных данных;

3.7.6. конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. Лица, получающие доступ к персональным данным Субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности) полученных персональных данных.      

3.7.6.1. Юридические лица ЭПАМ и иные лица, получающие доступ к персональным данным на основании гражданско-правового договора, заключают с Оператором соглашение о безопасности персональных данных (в качестве отдельного документа или пункта в договоре);

3.7.6.2. Работники Оператора допускаются к обработке персональных данных только после подписания обязательства о неразглашении информации, содержащей персональные данные по форме, установленной Приложением № 2 к настоящему Положению.

3.8. С целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, Оператор внедряет систему видеонаблюдения (видеосъемки) в помещениях Оператора (как правило, в коридорах и холлах с выходами/ входами, за исключением туалетных комнат, душевых, комнат для переодевания, комнат отдыха). Таблички с предупреждением о ведении видеонаблюдения (видеосъемки) должны размещаться до входа в зону (помещение, часть помещения), которая снимается на видео. Записи систем видеонаблюдения (видеосъемки) хранятся на жестком диске записывающего устройства в месте нахождения Оператора (в офисах Оператора, его филиалов, где производится видеосъемка) в течение 30 (тридцати) дней, после чего записи автоматически уничтожаются, если иной срок хранения не установлен в предоставленном согласии Субъекта персональных данных или в действующем законодательстве Республики Беларусь. Доступ к записям систем видеонаблюдения (видеосъемки) предоставляется только уполномоченным приказом Оператора лицам, которые обязуются сохранить конфиденциальность персональных данных, а также иным лицам в соответствии с законодательством Республики Беларусь.

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1. Оператором могут обрабатываться персональные данные следующих категорий Субъектов персональных данных:

4.1.1. Работники Оператора, заключившие с Оператором трудовой договор, в том числе иностранцы и лица без гражданства;

4.1.2. Соискатели;

4.1.3. Подрядчики;

4.1.4. Потенциальные контрагенты;

4.1.5. Практиканты;

4.1.6. Иностранные граждане/лица без гражданства/лица, постоянно или временно проживающие за границей;

4.1.7. Члены семьи работников Оператора;

4.1.8. Посетители офисов Оператора;

4.1.9. Представители Оператора;

4.1.10. Работники, подрядчики, практиканты, соискатели Юридических лиц ЭПАМ;

4.1.11. Сотрудники третьих лиц;

4.1.12. Гости;

4.1.13. Представители участников (собственников долей в уставном капитале) Оператора;

4.1.14. Заявители;

4.1.15. Посетители Сайтов.

4.1.16. Оператором могут обрабатываться персональные данные иных категорий Субъектов персональных данных (представители клиентов и контрагентов Оператора, бенефициарные владельцы и др.). Перечень персональных данных, цели сбора и обработки персональных данных иных категорий Субъектов персональных данных указываются в предоставляемом ими согласии на обработку их персональных данных, если отсутствуют иные законные основания обработки их персональных данных.

Один и тот же Субъект может относиться к одной или нескольким категориям субъектов персональных данных, указанным выше, в зависимости от состава обрабатываемых персональных данных, относящихся к нему, и целей обработки.

4.2. Оператор по месту своего нахождения может формировать базы персональных данных в бумажном и (или) электронном виде в зависимости от категории Субъектов, персональные данные которых обрабатываются Оператором, цели сбора и обработки их персональных данных.

4.3. Общий перечень категорий персональных данных, обрабатываемых Оператором, указан в п. 1.2.2 настоящего Положения. Конкретный перечень обрабатываемых персональных данных для каждой категории Субъектов приведен ниже в пп. 4.4 – 4.18 настоящего Положения.

4.4. Работники:

Категория Субъектов: работники Оператора, заключившие с Оператором трудовой договор, в том числе являющиеся иностранными гражданами и лицами без гражданства.

Категории персональных данных:

1) основная информация о Субъекте, то есть его  ФИО, , пол, идентификационный номер, дата (число/месяц/год) и место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, автобиография, данные о смерти или объявлении Субъекта умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным, паспортные данные и все сведения, содержащиеся в документе, удостоверяющем личность (включая паспорт, вид на жительство, удостоверение беженца, иной документ, удостоверяющий личность, в том числе иностранного гражданина и лица без гражданства, беженца, предусмотренный законодательством Республики Беларусь или признаваемый в соответствии с международным договором Республики Беларусь в качестве документа, удостоверяющего личность), сведения о поездках и пребывании за границей, о визах (сроки поездки, направление, цель поездки и др.), информация о государствах, в которых Субъект проживал, работал или учился, за последние 10 лет, предшествующие дате подписания настоящего Согласия, период такого проживания, работы или учебы, иная информация, предоставленная Субъектом Оператору,  сведения о цели приезда в Республику Беларусь, о миграционном учете, включая копии всех вышеуказанных документов;

2) сведения о работе, в том числе сведения о роде занятий (статус работающего, безработного, неработающего, место работы, дата трудоустройства, дата постановки на учет в качестве безработного, дата увольнения, дата снятия с учета в качестве безработного), включая всю информацию, содержащуюся в трудовом договоре и трудовой книжке, в том числе о предыдущих местах работы (наименование нанимателей, их адреса местонахождения, номера телефонов и адреса электронной почты, даты начала и окончания работы, должность, подразделение, сведения о поощрениях и награждениях, рекомендации), сведения о текущих условиях, характере и виде работы (профессия, должность, подразделение, табельный номер, должностной оклад или тарифная ставка, доплаты надбавки, поощрительные выплаты, место работы, трудовая функция, должностные обязанности, срок начала работы и трудового договора, режим труда и отдыха, трудовой стаж (стаж работы), данные по отпускам и отсутствию на работе по иным причинам, листки нетрудоспособности и справки о временной нетрудоспособности, сведения о поощрениях, награждениях и взысканиях),  информация о командировках/иных поездках по заданию Оператора (сроках, продолжительности, направлениях), о готовности к командировкам и релокации, результаты оценки эффективности работы (по итогам аттестации, обратной связи, интервью), проведенной работниками Оператора, в том числе аудио- и видеозапись интервью, характеристика Субъекта, иные сведения о работе, указание которых предусмотрено унифицированными формами первичной учетной документации по учету труда и его оплаты (в том числе личным листком по учету кадров), приказы по личному составу, графики отпусков, командировочные удостоверения, табель учета рабочего времени, расчетные и платежные ведомости и др.), сведения о правительственных наградах и почетных званиях, сведения об участии в выборных органах, в профессиональных союзах (ассоциациях), сведения, содержащиеся в специальном разрешении на право занятия трудовой деятельностью в Республике Беларусь в отношении иностранного гражданина или лица без гражданства, включая копии всех вышеуказанных документов;

3) сведения об образовании, навыках и социальном статусе, в том числе профессиональные сертификаты, участие в профессиональных ассоциациях, сведения об ученых званиях и степенях, образование (в том числе все сведения, содержащиеся в документах об образовании, такие как наименование и адрес учебного заведения (учреждения образования), реквизиты документа об образовании (наименование, серия, номер, дата выдачи), дата поступления, дата окончания, факультет или отделение, полученная квалификация, направление и специальность, уровень владения иностранными языками, сведения об аттестации, повышении квалификации и профессиональной переподготовке, реквизиты подтверждающих документов, сведения о научных трудах и изобретениях, о наличии водительского удостоверения, его номере и категории, семейное положение и состав семьи (данные о родителях (отец, мать), супруге, ребенке (детях), братьях, сестрах Субъекта: степень родства, фамилия, имя, отчество, год рождения членов семьи, информация о наличии детей, в том числе несовершеннолетних и детей-инвалидов), кроме того по инициативе Субъекта могут обрабатываться следующие категории персональных данных: сведения об инвалидности (Субъекта, членов его (ее) семьи), в том числе содержащиеся в справке, подтверждающей факт установления инвалидности, индивидуальной программе реабилитации инвалида, иные сведения и документы, подтверждающие особый статус Субъекта и членов его (ее) семьи, позволяющий получить предусмотренные законодательством или локальными актами Оператора льготы, компенсации и т.п., включая копии всех вышеуказанных документов;

4) сведения о воинском учете, об отношении к воинской обязанности, данные об исполнении воинской обязанности: дата приема на воинский учет, дата снятия (исключения) с воинского учета, данные о воинском звании и военно-учетной специальности и др. (включая все сведения, содержащиеся в военном билете и других документах воинского учета, а также копии вышеуказанных документов);

5) контактные данные, в том числе адрес электронной почты, номер телефона (служебный, мобильный), контакты в чатах и других электронных ресурсах, ссылки на профили в социальных сетях а также информация, которую Субъект опубликовал(а), сделав общедоступной, IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, выполнения трудовых обязанностей по заключенному с Оператором трудовому договору, их модели, история браузера, тип устройства, тип операционной системы и компьютера, мобильного браузера,файлы cookies;

6) финансовая информация, в том числе сведения о доходах (включая размер заработной платы, аванса, доплаты, надбавки, компенсации, меры поощрения и др.), сведения, содержащиеся в расчетном листке, сведения о пенсионных отчислениях и взносах на все виды страхования, уплачиваемых налогах и сборах, размерах премий и других выплат, уплачиваемых алиментах, предоставлении материальной помощи, банковские реквизиты расчетного счета, статус налогового резидента, страховое свидетельство, включая копии всех вышеуказанных документов;

7) информация о нарушениях законодательства, в том числе о фактах привлечения к административной и уголовной ответственности, о наличии судимости Субъекта (когда и за что) или отсутствии судимости Субъекта, информация о каких-либо судебных разбирательствах с участием Субъекта персональных данных, о наличии факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;

8) информация о состоянии здоровья и физических данных Субъекта, включая информацию о том, состоит ли Субъект на учете в психоневрологических, наркологических и других диспансерных учреждениях, фотографии и видеоматериалы, которые содержат изображения Субъекта, а также любым иным образом используют его (ее) имя, образ, черты, внешний вид и голос, информацию о наименовании (перечне), объеме, периоде (начиная с 2019 года) и стоимости оказанных Субъекту (ребенку Субъекта) медицинских услуг, оплачиваемых Оператором, по договорам, заключенным между Оператором и медицинскими центрами/ учреждениями здравоохранения (далее – медицинские центры), договор (полис) добровольного медицинского страхования, размер футболки, записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора, включая копии всех вышеуказанных документов

9) иные категории персональных данных, на получение и обработку которых Субъектом, являющимся работником Оператора, будет предоставлено согласие на обработку, при отсутствии иного законного основания для обработки таких персональных данных. 

Целью сбора и обработки персональных данных является обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования и продвижении по службе, надлежащее оформление трудовых отношений между Оператором и Субъектом персональных данных и всех сопутствующих этому документов, ведение связанного с этим кадрового, хозяйственного, финансового, бухгалтерского, налогового, статистического и воинского учета, подготовка в соответствии с требованиями законодательства статистической, административной и иной отчетной информации, обеспечение начисления и учета заработной платы, всех видов доплат и надбавок, мер поощрения, материальной помощи, налогов и сборов, взносов на обязательное пенсионное и иные виды страхования, иных предусмотренных законодательством налогов и сборов, их удержание и уплата в соответствующий бюджет и/или внебюджетные фонды, организация и проведение корпоративных мероприятий, тренингов, обучающих семинаров для работников, предоставление им социального пакета (корпоративных бенефитов, включая оплату медицинских услуг), подарков  и т.п., обеспечение надлежащего и качественного взаимодействия в процессе организации трудовых отношений между Оператором и Субъектом персональных данных, в том числе допуска Субъекта на территорию офисов Оператора, а также между Субъектом персональных данных и другими работниками, Подрядчиками Оператора и Юридических лиц ЭПАМ, а также с другими задействованными в реализации проектов для клиентов Оператора и Юридических лиц ЭПАМ Субъектами, в период действия трудовых отношений между Субъектом персональных данных и Оператором.

Записи систем видеонаблюдения (видеосъемки) собираются, обрабатываются, предоставляются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для уникальной идентификации Субъектов персональных данных и, следовательно, не являются биометрическими персональными данными Субъектов.

Результаты оценки эффективности работы (по итогам аттестации, обратной связи, интервью), проведенной работниками Оператора, в том числе аудио- и видеозапись интервью, собираются, обрабатываются с целью получения Оператором сведений о прогрессе Работника, а также для возможного предоставления (демонстрации) другим работникам Оператора и Юридических лиц ЭПАМ в рамках обмена опытом и передачи знаний от более опытных работников менее опытным. При этом с согласия Работника, аудио- и видеозапись интервью с которым была осуществлена Оператором, данные аудио- и видеозаписи могут предоставляться (демонстрироваться) работникам Оператора и Юридических лиц ЭПАМ, ведущим или планирующим осуществлять оценку эффективности работы (в том числе проведение аттестации, интервью, предоставление обратной связи), с целью изучения ими приемов и способов, порядка ведения интервью, оценки знаний, а также для оценки компетенций работника Оператора Юридических лиц ЭПАМ, участвующего в оценке знаний, интервью со стороны нанимателя.

Персональные данные о размере футболки Субъекта собираются, обрабатываются, в том числе хранятся, предоставляются Оператором исключительно с целью предоставления Субъекту в качестве подарков предметов одежды (например, футболок) с корпоративной символикой Оператора, не используются для идентификации Субъекта и, следовательно, не являются биометрическими персональными данными Субъекта.

Персональные данные о членах семьи Субъекта (включая копии свидетельств о браке, рождении, смерти), об инвалидности и иные данные, подтверждающие особый статус Субъекта и/или членов его (ее) семьи собираются, обрабатываются, в том числе хранятся и предоставляются Оператором исключительно с целью предоставления Субъекту налоговых льгот и вычетов, подарков и корпоративных развлекательных мероприятий для несовершеннолетних детей работников и иных корпоративных бенефитов (бесплатные прививки, медицинские, образовательные, физкультурно-оздоровительные и спортивно-развлекательные услуги, путевки в оздоровительные и развлекательные лагеря,  выплаты по случаю семейных событий и т.п.), связанных с такими членами семьи Субъекта, в частности для подтверждения родственных связей, а также для предоставления предусмотренных законодательством и локальными нормативными правовыми актами Оператора льгот.

Персональные данные Субъекта собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для осуществления внутрикорпоративного учета персонала, финансов (в том числе расходов), командировок и иных поездок в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ, а также могут предоставляться и передаваться Юридическим лицам ЭПАМ и клиентам, контрагентам, заказчикам Оператора и/или Юридических лиц ЭПАМ, находящимся в странах, указанных в Приложении № 1 к настоящему Согласию, с целью надлежащего исполнения Оператором и Юридическими лицами ЭПАМ обязательств перед своими клиентами, контрагентами, заказчиками в рамках заключенных с ними договоров и соглашений в случае, если Субъект персональных данных в рамках выполнения своих трудовых обязанностей работает над проектами для таких клиентов, контрагентов, заказчиков Оператора и/или Юридических лиц ЭПАМ или непосредственно участвует в выполнении обязательств Оператора и/или Юридических лиц ЭПАМ  по таким договорам и соглашениям.

Информация о командировках/иных поездках по заданию Оператора (сроках, продолжительности, направлениях) вместе с контактными данными (ФИО, номер телефона, адрес рабочей электронной почты) Субъекта могут передаваться (в том числе трансгранично) по запросу другим работникам Оператора и/или Юридических лиц ЭПАМ  с целью обращения за содействием в срочной доставке/передаче через командированного работника (Субъекта) документации, почтовой корреспонденции в офис Оператора (в том числе в его филиалы) и/или Юридических лиц ЭПАМ, который планирует посетить Субъект в ходе такой командировки/поездки.

Персональные данные, указанные в подпунктах 1), 2), 3), 7) и 8) настоящего пункта Положения (в частности, ФИО, паспортные данные  и все сведения, содержащиеся в документе, удостоверяющем личность, разрешении на временное проживание, виде на жительство, ином документе, предусмотренном законодательством Республики Беларусь или признаваемым в соответствии с международным договором Республики Беларусь в качестве документа, удостоверяющего личность, включая копии всех вышеуказанных документов, сведения о визах, сведения о работе, сведения об образовании, реквизиты документа об образовании, включая копии документа об образовании, сведения о фактах  привлечения Субъекта к административной и уголовной ответственности, о наличии или отсутствии судимости, информация о каких-либо судебных разбирательствах с участием Субъекта, о наличии факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям во всех государствах, где Субъект проживал, работал или учился, за последние 10 лет, предшествующие дате подписания настоящего Согласия, и о том, состоит ли Субъект на учете в психоневрологических, наркологических и других диспансерных учреждениях, фотографии), а также иные персональные данные субъекта могут также с согласия Субъектов собираться, обрабатываться, предоставляться (в том числе трансгранично) клиентам, контрагентам, заказчикам Оператора и/или Юридических лиц ЭПАМ, находящимся в странах, указанных в Приложении № 1 к настоящему Положению в случае, если Субъект в рамках выполнения своих трудовых обязанностей работает над проектами для таких клиентов, контрагентов, заказчиков Оператора и/или Юридических лиц ЭПАМ или непосредственно участвует в выполнении обязательств Оператора и/или Юридических лиц ЭПАМ по таким договорам и соглашениям с целью подтверждения опыта работы, квалификации, репутации Субъекта в качестве законопослушного лица, не имеющего психических заболеваний и алкогольной, наркотической, иной зависимости (процедура background check).

Персональные данные, указанные в подпунктах 1), 5), 8) настоящего пункта Положения (в частности, ФИО, пол, дата рождения, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, контактный(е) номера телефона(ов)), информация о наименовании (перечне), объеме, периоде и стоимости оказанных Субъекту (ребенку Субъекта) медицинских услуг, оплачиваемых Оператором по договорам, заключенным между Оператором и медицинскими центрами), а также иные персональные данные Субъекта могут также собираться, обрабатываться, предоставляться медицинским центрам в целях подтверждения факта оказания Субъекту (его ребенку) медицинских услуг, оплачиваемых Оператором, в рамках проведения мониторинга исполнения медицинскими центрами взятых на себя обязательств по медицинскому обслуживанию работников (детей работников) Оператора и последующего статистического анализа полученных данных.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (консульских, туристических, услуг по бронированию отелей, квартир, иных вариантов размещения, трансферов, авиа-, ж/д и иных билетов и т.п., услуг визовой поддержки, услуг по организации и проведению мероприятий, спортивных и оздоровительных услуг, юридических, аудиторских, бухгалтерских, охранных, медицинских, образовательных, консультационных, маркетинговых, негосударственного страхования, негосударственного пенсионного обеспечения и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Субъектов, содержащиеся в материалах (документах, иной информации), составленных/оформленных по итогам и/или в результате проведенных Оператором в соответствии с его локальными нормативными актами внутренних проверок, могут предоставляться участникам (собственникам долей в уставном капитале) Оператора, а именно EPAM Systems, Inc., расположенному по адресу: 41 Юниверсити драйв, офис 202, Ньютаун, Штат Пенсильвания, США, и EPAM SYSTEMS (CYPRUS) LIMITED, расположенному по адресу: Дигени Акрита 45, Здание Памборидис, 1070, Никосия, Кипр, а также привлеченным такими участниками Оператора (собственниками долей в уставном капитале) консультантам/аудиторам в целях анализа полученных результатов проверок и выработки рекомендаций по процедуре проведения внутренних проверок и минимизации последствий, превенции совершения в дальнейшем нарушений, аналогичных выявленным в ходе внутренних проверок.

Персональные данные Субъекта также могут предоставляться третьим лицам, являющимся государственными органами (включая, но не ограничиваясь: органам принудительного исполнения, органам внутренних дел, военным комиссариатам), банками и небанковскими кредитно-финансовыми организациями на основании их запросов (в том числе посредством телефонной связи) в целях подтверждения места/периода работы Субъекта для направления корреспонденции по адресу Оператора, принятия решения банком (небанковской кредитно-финансовой организацией) о выдаче кредита Субъекту, и в иных целях в случаях, если это необходимо для надлежащего решения бытовых, социальных вопросов Субъекта или если необходимость (обязательность) такого предоставления предусмотрена законодательством Республики Беларусь.

Персональные данные Субъектов, являющихся работниками Оператора, хранятся в бумажном виде:

  • в форме личных дел работников и Личных карточек работников;
  • отдельно хранятся трудовые книжки работников;
  • приказы по личному составу хранятся в виде отдельных папок по категориям и годам издания;
  • бухгалтерские документы, в том числе касающиеся начисления и выплат заработной платы, материальной помощи, иных видов выплат, а также удержаний, командировок и т.п., хранятся в виде отдельных подшивок документов бухгалтерского учета.

Кроме того с целью внутреннего информационного обеспечения Оператора и Юридических лиц ЭПАМ часть персональных данных Субъектов, являющихся работниками, вносится в общие для Оператора и Юридических лиц ЭПАМ Информационные системы Yammer, UPSA, PEOPLE.EPAM и Telescope, а именно: ФИО, пол, сведения о месте работы, структурном подразделении, занимаемой должности и начале работы у Оператора, текущих проектах, на которых занят Субъект, пройденных курсах и тренингах, режиме занятости, непосредственном и вышестоящем руководителе, номере рабочей станции, служебном номере телефона, адресе корпоративной электронной почты, фото (цифровой фотопортрет), сведения об уровне владения иностранным языком, ссылки на аккаунты в Информационных системах Telescope/UPSA/PEOPLE.EPAM и Yammer, сведения об имеющемся образовании.

По желанию Субъекта он также вправе самостоятельно указать в Информационных системах (UPSA, Telescope, Yammer) дополнительные сведения о себе и сделать их общедоступными (раскрыть неопределенному кругу лиц), а

именно: дата рождения, сведения о профессиональных навыках, сведения о наличии несовершеннолетних детей и дате их рождения, сведения о домашнем адресе, об имеющихся визах, о наличии права управления транспортным средством и сроке его действия, номере личного автомобиля, о размере футболки, о номере личного мобильного телефона, личном идентификационном номере и другие сведения. Внесение Субъектом самостоятельно каких-либо персональных данных в указанные и иные Информационные системы означает его свободное, однозначное, информированное и сознательное согласие с обработкой этих персональных данных Оператором на условиях и для целей, указанных в настоящем Положении. Внесенные самостоятельно Субъектом сведения могут автоматически дублироваться в остальных Информационных системах Оператора и Юридических лиц ЭПАМ в зависимости от функционала таких Информационных систем. В целях обеспечения технической безопасности Информационных систем Оператора и Юридических лиц ЭПАМ доступ в Информационные системы Оператора и Юридических лиц ЭПАМ может требовать прохождения процедуры двухфакторной аутентификации аккаунта Субъекта, в целях которой у Субъекта может запрашиваться номер телефона (мобильного или стационарного) или данные об используемом Субъектом устройстве (в том числе планшете: iOs, Android, IPad, Nexus 7, др.). Внесение Субъектом самостоятельно каких-либо персональных данных в Информационные системы Оператора и Юридических лиц ЭПАМ или при прохождении процедуры двухфакторной аутентификации аккаунта Субъекта означает его (ее) безусловное согласие с обработкой этих персональных данных Оператором на условиях и для целей, указанных в настоящем Согласии и локальных актах Оператора, а также с предоставлением таких персональных данных Юридическим лицам ЭПАМ.

Доступ ко всем указанным персональным данным в Информационных системах имеют все работники, Подрядчики, Практиканты Оператора и Юридических лиц ЭПАМ. Подобный доступ предоставляется с целью упрощения коммуникаций между работниками, Подрядчиками, Практикантами при выполнении ими своих должностных обязанностей, обязательств по гражданско-правовым договорам и прохождении практики в ходе реализации проектов, на которых они задействованы.

Сведения о командировках (сроках, продолжительности, направлениях) вносятся также в Информационную систему Concur и доступны уполномоченным лицам Оператора и Юридических лиц ЭПАМ, которым такие персональные данные необходимы для выполнения их должностных обязанностей, с целью содействия в организации командировок, покупки билетов, бронировании гостиниц, а также подтверждения, оформления и возмещения затрат, понесенных Оператором либо Субъектом в ходе командировки, а также третьему лицу, оказывающему услуги по техническому обслуживанию Информационной системы Concur.

Сведения о всех видах выплат (заработная плата, материальная помощь, поощрения) и удержаний, уплаченных налогах и налоговых вычетах, об отпусках, командировках и понесенных в ходе них затратах, а также сопутствующая информация (например, о расчетных счетах Субъектов, на которые перечисляются указанные выплаты) также вносятся с целью внутреннего информационного обеспечения Оператора и ведения автоматизированного бухгалтерского учета в Информационную систему «1С», доступ к которой предоставлен ограниченному кругу работников Оператора которым такие персональные данные необходимы для выполнения их должностных обязанностей, включая, но не органичиваясь: главному бухгалтеру, заместителю главного бухгалтера, ведущему бухгалтеру, старшему бухгалтеру, бухгалтеру, директору филиала, заместителю директора по кадровым вопросам, руководителю отдела кадров, специалисту по кадрам, инспектору по кадрам, заместителю директора по административным вопросам.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в иные Информационные системы.

Некоторые персональные данные Субъекта, а именно: ФИО, изображение Субъекта (фотографии, видеозаписи с мероприятий, организуемых Оператором и/или Юридическими лицами ЭПАМ либо с их участием, а также на которых Субъект представляет Оператора), сведения о занимаемой должности Субъекта, сведения об имеющемся у Субъекта опыте работы, сведения об участии в проектах, а также мероприятиях, организуемых Оператором и/или Юридическими лицами ЭПАМ либо с их участием и/или на которых Субъект представляет Оператора, навыках, могут размещаться в общедоступных источниках персональных данных и источниках, где персональные данные раскрыты неопределенному кругу лиц или разрешены для распространения самим Субъектом, в том числе на Сайтах группы компаний, в которую входит Оператор и Юридические лица ЭПАМ, (включая, но не ограничиваясь, anywhere.epam.com/business) в целях информирования потенциальных клиентов Оператора и/или Юридических лиц ЭПАМ о профессиональных навыках и компетенциях Субъекта и о деятельности Оператора и/или Юридических лиц ЭПАМ, а также на страницах Оператора и Юридических лиц ЭПАМ в социальных сетях (facebook и др.) и на других ресурсах (youtube.com и др.) в сети Интернет с целью информирования неограниченного круга лиц о деятельности Оператора и/или Юридических лиц ЭПАМ, в том числе путем размещения фото и видео с проводимых мероприятий (конференций, хакатонов и т.п.) с указанием данных о спикерах, участниках.

Срок обработки и хранения: обработка и хранение персональных данных работников осуществляется в течение всего срока действия трудовых договоров, заключенных между Оператором и Субъектами, а также после завершения срока действия трудовых договоров в соответствии с законодательством об архивном деле, налоговым законодательством и законодательством о бухгалтерском учете, если более длительный срок обработки и хранения не установлен согласием Субъекта, до момента отзыва согласия таким Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

Персональные данные работников после их увольнения могут повторно использоваться Оператором для получения рекомендаций, отзывов о качестве работы Субъекта от непосредственных руководителей и коллег Субъекта за период работы у Оператора в случае повторного обращения Субъекта с целью трудоустройства (в качестве Соискателя) либо с целью заключения гражданско-правового договора (в качестве Потенциального контрагента), и с целью демонстрации аудио- и видеозаписей интервью, собеседований с ним работникам Оператора и Юридических лиц ЭПАМ в целях получения знаний и обмена опытом, до момента отзыва согласия Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.5. Соискатели:

Категория Субъектов: Соискатели - потенциальные работники Оператора как они определены в п. 1.2.9 настоящего Положения.

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, гражданство, автобиография, дата (день/месяц/год) и место рождения, адрес/сведения о местонахождении, почтовый индекс;

2) сведения об имеющемся опыте работы, в том числе о предыдущих местах работы (наименование работодателей, даты начала и окончания работы, должность, подразделение, сведения о поощрениях и награждениях), бывших или текущих клиентах, с которыми Субъект сотрудничал на основании гражданско-правового договора (наименование клиентов, даты начала и окончания выполнения для них работ, оказания услуг, вид и характер выполняемых работ, оказываемых услуг), а также о предпочтительных условиях, характере и виде работы у Оператора (профессия, должность, место работы, трудовая функция, должностные обязанности, срок начала работы, режим рабочего времени и времени отдыха), трудовой стаж (стаж работы), сведения о сотрудниках предыдущих работодателей либо клиентов, с которыми Субъект взаимодействовал в ходе осуществления трудовой деятельности, выполнения работ, оказания услуг и которые могут дать рекомендации о квалификации Субъекта, качестве выполняемых им работ, оказываемых услуг, сведения о готовности к командировкам и релокации;

3) сведения об образовании, навыках и социальном статусе, в том числе профессиональные сертификаты, участие в профессиональных ассоциациях, сведения об ученых званиях и степенях, образование (в том числе все сведения, содержащиеся в документах об образовании, такие как наименование образовательного или научного учреждения, период учебы, дата окончания, факультет, полученная квалификация, направление и специальность, уровень владения иностранными языками, сведения об аттестации, повышении квалификации и профессиональной переподготовке, о научных трудах и изобретениях, семейное положение и состав семьи, информация о наличии детей;

4) контактные данные и сведения об активности на сайтах Оператора и Юридических лиц ЭПАМ, в том числе адрес электронной почты, телефон (мобильный), контакты в чатах и других электронных ресурсах, информацию из социальной сети, к которой Субъект предоставил(а) доступ, включая сетевой идентификатор (ID) своего аккаунта в социальных сетях, контакты или список «друзей», а также информацию, которую Субъект опубликовал(а), сделав общедоступной, информация о заявках/откликах на вакансии, IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, их модели, история браузера, тип устройства, тип операционной системы и компьютера, мобильного браузера, файлы «cookies», сведения о действиях на сайтах Оператора и Юридических лиц ЭПАМ (в т.ч. о просматриваемой рекламе, использовании сервисов сайтов Оператора и Юридических лиц ЭПАМ), дата и время посещения сайтов Оператора и Юридических лиц ЭПАМ (сессии), обновления и удаления данных, в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Google Tag Manager, Mixpanel, Hotjar и других;

5) финансовая информация, в том числе сведения о примерном размере текущего дохода, а также предполагаемый размер получаемого у Оператора должностного оклада или тарифной ставки в случае приема Субъекта на работу к Оператору;

6) информация о физических данных Субъекта персональных данных, включая фотографии, записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора;

7) информация о собеседовании: результат выполнения Субъектом тестовых заданий Оператора, результаты (итоги) и ход собеседования, проведенного работниками Оператора с Субъектом персональных данных, ответы на вопросы, заданные в ходе такого собеседования, в том числе аудио- и видеозапись собеседования, переписка по электронной почте с представителями Оператора или других юридических лиц ЭПАМ;

8) иные иные сведения, содержащиеся в резюме Субъекта и которые Субъект предоставил по собственному желанию.

Целью сбора и обработки персональных данных является рассмотрение вопроса о возможности заключения между Оператором и Субъектом персональных данных трудового договора, соответствия квалификации Субъекта имеющимся у Оператора вакансиям, а также занесение персональных данных Субъекта персональных данных в базу данных Оператора для формирования кадрового резерва Оператора и Юридических лиц ЭПАМ (в том числе с использованием инструмента Beamery).

Контактные данные Субъекта используются для установления обратной связи с Субъектом (в том числе направления ему новостей, рассылок о проводимых Оператором или иными Юридическими лицами ЭПАМ мероприятиях и приглашений на такие мероприятия, информации об имеющихся вакансиях и обновлениях в информационных кампаниях в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ, предложений о заключении гражданско-правового или трудового договора), в том числе с использованием инструмента Mailchimp).

Аудио- и видеозаписи собеседований, проведенных работниками Оператора с Субъектом, обрабатываются с целями, указанными выше, а также с целью возможной последующей демонстрации другим работникам Оператора и Юридических лиц ЭПАМ в целях обмена опытом и передачи знаний от более опытных работников менее опытным, в том числе для изучения ими приемов и способов ведения собеседований, порядка его проведения, а также для оценки компетенций работника Оператора/ Юридических лиц ЭПАМ, участвующего в собеседованиях со стороны работодателя.

Записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора, обрабатываются с целью обеспечения личной безопасности субъектов персональных данных и обеспечения сохранности имущества Оператора и субъектов персональных данных, не используются для уникальной идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъекта.

Персональные данные Субъектов предоставляются и передаются (в том числе трансгранично) Юридическим лицам ЭПАМ, для осуществления внутрикорпоративного учета соискателей и формирования единого кадрового резерва в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ, а также внутреннего информационного обеспечения Оператора и Юридических лиц ЭПАМ (в том числе, обеспечения работников Оператора и Юридических лиц ЭПАМ материалами для обмена опытом и получения дополнительных знаний).

Персональные данные Субъектов также могут предоставляться (быть доступны) компании Beamery Ltd, компании The Rocket Science Group LLC, а именно ее инструменту Mailchimp, компании Codility Limited, а также третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (юридических, рекрутинговых, аудиторских, бухгалтерских, охранных и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Соискателей хранятся в бумажном и (или) электронном виде в форме резюме конкретных Соискателей.

Персональные данные Субъектов также будут храниться и обрабатываться в общей для Оператора и Юридических лиц ЭПАМ базе данных в информационной системе Staffing Desk, доступ к которой предоставлен уполномоченным работникам Оператора и Юридических лиц ЭПАМ, которым такие персональные данные необходимы для выполнения их должностных обязанностей. Подобный доступ предоставляется с целью внутреннего информационного обеспечения Оператора и Юридических лиц ЭПАМ и использования кадрового резерва для заполнения имеющихся у Оператора и Юридических лиц ЭПАМ вакантных должностей.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъектов могут включаться в иные Информационные системы.

Сведения об активности на сайтах Оператора и Юридических лиц ЭПАМ, информация о заявках/откликах на вакансии, IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, их модели, история браузера, тип устройства, тип операционной системы и компьютера, мобильного браузера, файлы «cookies», сведения о действиях на сайтах Оператора и Юридических лиц ЭПАМ (в т.ч. о просматриваемой рекламе, использовании сервисов сайтов Оператора и Юридических лиц ЭПАМ), дата и время посещения сайтов Оператора и Юридических лиц ЭПАМ (сессии), обновления и удаления данных, в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Google Tag Manager, Mixpanel, Hotjar и других обрабатываются с целью улучшения работы сайтов Оператора и Юридических лиц ЭПАМ, повышения удобства и эффективности работы с сайтами Оператора и Юридических лиц ЭПАМ, предоставления решений и услуг, наиболее отвечающих потребностям Субъекта, определения его предпочтений, отображения рекламных объявлений (поведенческой рекламы), предоставления целевой информации по решениям и услугам Оператора и его партнёров, предоставления Субъекту таргетированной рекламы на основе предпочтений/действий Субъекта на сайтах Оператора и Юридических лиц ЭПАМ посредством сервисов ВКонтакте, Facebook, Instagram, а также для обеспечения технической возможности функционирования сайтов Оператора и Юридических лиц ЭПАМ.

Проведение с использованием инструмента Beamery Оператором и другими юридическими лицами ЭПАМ маркетинговых кампаний / событий на основе результатов аналитики (в т.ч. анализа активности ответов Субъекта на сайтах Оператора и Юридических лиц ЭПАМ, его перехода по ссылкам, которые были направлены в рамках маркетинговой кампании) с целью индивидуального коммуникационного подхода.

Предоставление Субъектам возможности прохождения тестов/заданий, которые доступны на сайте https://codility.com/, а также на других сайтах компании Codility Limited (9th Floor, 107 Cheapside, London, United Kingdom EC2V 6DN), с целью оценки уровня технических навыков (технологии программирования, языки программирования и т.д.) в процессе рассмотрения вопроса о заключении гражданско-правового или трудового договора между Субъектом и юридическим лицом из группы компаний ЭПАМ.

Срок обработки и хранения: обработка и хранение персональных данных Соискателей осуществляется в течение всего срока рассмотрения кандидатуры Субъекта на замещение имеющихся у Оператора вакантных должностей, а также после принятия решения об отказе в приеме на работу с целью включения Соискателя в кадровый резерв, демонстрации аудио- и видеозаписей собеседований работникам Оператора и Юридических лиц ЭПАМ в целях получения знаний и обмена опытом, до момента отзыва согласия таким Соискателем, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.6. Подрядчики:

Категория Субъектов: физические лица-контрагенты Оператора, как зарегистрированные, так и не зарегистрированные в качестве индивидуальных предпринимателей, заключившие с Оператором гражданско-правовой договор (п. 1.2.11 настоящего Положения).

Категория персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, паспортные данные  и все сведения, содержащиеся в документе, удостоверяющем личность (включая паспорт, дипломатический паспорт, служебный паспорт, паспорт для выезда за границу, удостоверение личности военнослужащего, временное удостоверение личности, иной документ, удостоверяющий личность, в том числе иностранного гражданина и лица без гражданства, беженца), разрешении на временное проживание, виде на жительство, ином документе, предусмотренном законодательством Республики Беларусь или признаваемым в соответствии с международным договором Республики Беларусь в качестве документа, удостоверяющего личность, сведения о поездках и пребывании за границей и о визах (сроки поездки, направление, цель поездки и др.), сведения о цели приезда в Республику Беларусь, о миграционном учете, адрес регистрации по месту жительства и фактический адрес проживания (домашний адрес), гражданство, дата (день/месяц/год) и место рождения, включая копии всех вышеуказанных документов;

2) сведения о выполняемых работах, оказываемых услугах, навыках, включая всю информацию, содержащуюся в гражданско-правовом договоре (вид, объем выполняемых работ, оказываемых услуг, место выполнения работ, оказания услуг, текущий проект, в рамках которого выполняются работы, оказываются услуги), информацию о поездках к клиентам Оператора в рамках выполнения работ, оказания услуг (в том числе о сроках, продолжительности, направлениях), сведения, содержащиеся в разрешении на работу или патенте, сведения об участии в проектах, а также мероприятиях, организуемых Оператором и/или Юридическими лицами ЭПАМ либо с их участием и/или на которых Субъект взаимодействует с Оператором;

3) контактные данные, в том числе адрес электронной почты, телефон (служебный, мобильный), IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, выполнения обязательств по заключенным с Оператором гражданско-правовым договорам, их модели, файлы cookies;

4) финансовая информация, в том числе сведения о доходах (включая размер вознаграждения за выполняемые работы, оказываемые услуги), сведения об уплачиваемых налогах, сведения о начисляемых на вознаграждение Субъекта всех видов взносов в случае, если их начисление предусмотрено действующим законодательством, уплачиваемых алиментах, сведения о регистрации в качестве индивидуального предпринимателя, номер свидетельства и дата такой регистрации, ИНН, банковские реквизиты расчетного счета, статус налогового резидента, страховое свидетельство обязательного страхования, включая копии всех вышеуказанных документов;

5) информация о физических данных Субъекта персональных данных, включая изображения Субъекта (фотографии, видеозаписи), записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора;

6) иные категории персональных данных, на получение и обработку которых Субъектом, являющимся Подрядчиком Оператора, будет предоставлено согласие на обработку, при отсутствии иного законного основания для обработки таких персональных данных.

Целью сбора и обработки персональных данных является обеспечение оформления и ведения отношений между Оператором и Субъектом персональных данных в сфере гражданско-правовых, административно-правовых, налоговых отношений, отношений в сфере бухгалтерского, налогового и статистического учета и отчетности, подготовка в соответствии с требованиями законодательства статистической, административной и иной отчетной информации, обеспечение начисления и учета вознаграждения Субъекту за выполненные работы, оказанные услуги по гражданско-правовому договору, налогов и сборов, взносов, их удержание и уплата в соответствующий бюджет и/или внебюджетные фонды, если такие начисления, удержания и уплата предусмотрены действующим законодательством, обеспечение надлежащего и качественного взаимодействия в процессе организации гражданско-правовых отношений между Оператором (а также его работниками, другими Подрядчиками) и Субъектом персональных данных, а также между Субъектом персональных данных и работниками, Подрядчиками Юридических лиц ЭПАМ, а также с другими задействованными в реализации проектов для клиентов Оператора и Юридических лиц ЭПАМ Субъектами в период действия гражданско-правового(ых) договора(ов) между Субъектом персональных данных и Оператором.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для осуществления внутрикорпоративного учета выполняемых для Оператора работ, оказываемых для Оператора услуг физическими лицами, с которыми заключены гражданско-правовые договоры, учета финансов (в том числе расходов) в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ, а также могут передаваться и предоставляться Юридическим лицам ЭПАМ и клиентам, контрагентам, заказчикам, в том числе привлеченным ими консультантам (аудиторам, вендорам)), Оператора и Юридических лиц ЭПАМ с целью надлежащего исполнения Оператором и Юридическими лицами ЭПАМ обязательств перед своими клиентами, контрагентами, заказчиками в рамках заключенных с ними договоров и соглашений в случае, если Субъект персональных данных в рамках выполнения своих  обязательств по гражданско-правовому договору с Оператором работает над проектами для таких клиентов, контрагентов, заказчиков Оператора и Юридических лиц ЭПАМ или непосредственно участвует в выполнении обязательств Оператора и Юридических лиц ЭПАМ по таким договорам и соглашениям.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (консульских, туристических, услуг по бронированию отелей, квартир, иных вариантов размещения, трансферов, авиа-, ж/д и иных билетов и т.п., юридических, аудиторских, бухгалтерских, охранных и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Субъектов, являющихся Подрядчиками Оператора, хранятся в бумажном виде:

  • в форме подшивок гражданско-правовых договоров, заключенных с Подрядчиками, с прилагаемыми к ним копиями документов Субъекта (паспорт или иной докумет, удостоверяющий личность и иные вышеуказанные документы);
  • бухгалтерские документы, в том числе касающиеся начисления и выплат вознаграждений по гражданско-правовым договорам, а также удержаний и т.п., хранятся в виде отдельных подшивок документов бухгалтерского учета.

Кроме того с целью внутреннего информационного обеспечения Оператора и Юридических лиц ЭПАМ часть персональных данных Субъектов, являющихся Подрядчиками, вносится в общие для Оператора и Юридических лиц ЭПАМ Информационные системы Yammer, UPSA, PEOPLE.EPAM и Telescope, а именно: ФИО, пол, сведения о виде выполняемых работ, оказываемых услуг и начале сотрудничества с Оператором, текущих проектах, на которых занят Субъект, адресе электронной почты, если он выделяется Подрядчику, фото, ссылки на аккаунты в Информационных системах Telescope/UPSA/PEOPLE.EPAM и Yammer.

По желанию Субъекта он также вправе самостоятельно указать в Информационных системах Оператора, к которым ему предоставлен доступ, дополнительные сведения о себе и сделать их общедоступными (раскрыть неопределенному кругу лиц), а именно: дата рождения, сведения о профессиональных навыках, сведения о наличии несовершеннолетних детей и дате их рождения, сведения о домашнем адресе, об имеющихся визах, о наличии права управления транспортным средством и сроке его действия, номере личного автомобиля, о размере футболки, о номере личного мобильного телефона, личном идентификационном номере и другие сведения. Внесение Субъектом самостоятельно каких-либо персональных данных в Информационные системы означает его свободное, однозначное, информированное и сознательное согласие с обработкой этих персональных данных Оператором на условиях и для целей, указанных в настоящем Положении. Внесенные самостоятельно Субъектом сведения могут автоматически дублироваться в остальных Информационных системах Оператора и Юридических лиц ЭПАМ в зависимости от функционала таких Информационных систем.

Доступ ко всем указанным персональным данным в Информационных системах  имеют все работники, Подрядчики, Практиканты Оператора и Юридических лиц ЭПАМ. Подобный доступ предоставляется с целью упрощения коммуникаций между работниками, Подрядчиками, Практикантами при выполнении ими своих должностных обязанностей, обязательств по гражданско-правовым договорам и прохождении практики в ходе реализации проектов, на которых они задействованы.

Сведения о выплате Подрядчику вознаграждения по гражданско-правовому договору и удержаниях, а также сопутствующая информация (например, о расчетных счетах Субъектов, на которые перечисляются указанные выплаты) также вносятся с целью внутреннего информационного обеспечения Оператора и ведения автоматизированного бухгалтерского учета в Информационную систему «1С», доступ к которой предоставлен ограниченному кругу работников Оператора, которым такие персональные данные необходимы для выполнения их должностных обязанностей.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в иные Информационные системы.

Некоторые персональные данные Субъекта, а именно: ФИО, изображение Субъекта (фотографии, видеозаписи с мероприятий, организуемых Оператором и/или Юридическими лицами ЭПАМ либо с их участием, а также на которых Субъект взаимодействует с Оператором), сведения о выполняемых работах, оказываемых услугах, сведения об имеющемся у Субъекта опыте работы, сведения об участии в проектах, а также мероприятиях, организуемых Оператором и/или Юридическими лицами ЭПАМ либо с их участием и/или на которых Субъект взаимодействует с Оператором, навыках, могут размещаться в общедоступных источниках персональных данных и источниках, где персональные данные доступны неограниченному кругу лиц, в том числе на Сайтах группы компаний, в которую входит Оператор и Юридические лица ЭПАМ, (включая, но не ограничиваясь, anywhere.epam.com/business) в целях информирования потенциальных клиентов Оператора и/или Юридических лиц ЭПАМ о профессиональных навыках и компетенциях Субъекта и о деятельности Оператора и/или Юридических лиц ЭПАМ, а также на страницах Оператора и Юридических лиц ЭПАМ в социальных сетях (Facebook и др.) и на других ресурсах (youtube.com и др.) в сети Интернет с целью информирования неограниченного круга лиц о деятельности Оператора и/или Юридических лиц ЭПАМ, в том числе путем размещения фото и видео с проводимых мероприятий (конференций, хакатонов и т.п.) с указанием данных о спикерах, участниках.

Срок обработки и хранения: обработка и хранение персональных данных Подрядчиков осуществляется в течение всего срока действия гражданско-правовых договоров, заключенных между Оператором и Субъектами, а также после завершения срока действия гражданско-правовых договоров в соответствии с законодательством об архивном деле, а также налоговым законодательством и законодательством о бухгалтерском учете, если более длительный срок обработки и хранения не установлен согласием Субъекта, до момента отзыва согласия таким Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

Персональные данные Подрядчиков после прекращения заключенных с ними гражданско-правовых договоров могут обрабатываться с согласия Субъекта для формирования кадрового резерва с целью возможного трудоустройства в будущем Субъекта у Оператора в качестве работника либо с целью заключения с ним в будущем повторно гражданско-правового договора до момента отзыва согласия таким Подрядчиком, если нет иного законного основания для обработки и хранения персональных данных Субъекта. 

4.7. Потенциальные контрагенты:

Категория Субъектов: физические лица, с которыми Оператором (непосредственно либо через третье лицо) осуществляется взаимодействие (рассмотрение информации о контрагенте, проведение переговоров и т.п.) с целью принятия решения о заключении между ним и Оператором гражданско-правового договора (п. 1.2.12 настоящего Положения).

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, паспортные данные  и все сведения, содержащиеся в документе, удостоверяющем личность (включая паспорт, дипломатический паспорт, служебный паспорт, паспорт для выезда за границу, удостоверение личности военнослужащего, временное удостоверение личности, иной документ, удостоверяющий личность, в том числе иностранного гражданина и лица без гражданства, беженца), разрешении на временное проживание, виде на жительство, ином документе, предусмотренном законодательством Республики Беларусь или признаваемым в соответствии с международным договором Республики Беларусь в качестве документа, удостоверяющего личность, сведения о поездках и пребывании за границей и о визах (сроки поездки, направление, цель поездки и др.), сведения о цели приезда в Республику Беларусь, о миграционном учете, адрес регистрации по месту жительства и фактический адрес проживания (домашний адрес), гражданство, дата (день/месяц/год) и место рождения, включая копии всех вышеуказанных документов;

2) сведения об имеющемся опыте выполнения работ, оказания услуг;

3) контактные данные, в том числе адрес электронной почты, телефон (служебный, мобильный), IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, их модели, файлы cookies;

4) финансовая информация, в том числе сведения о примерном размере текущего дохода, а также предполагаемая цена работ, услуг в рамках планируемого к заключению с Оператором гражданско-правового договора, сведения о регистрации в качестве индивидуального предпринимателя, номер свидетельства и дата такой регистрации, ИНН, банковские реквизиты расчетного счета, статус налогового резидента, страховое свидетельство, включая копии всех вышеуказанных документов;

5) информация о физических данных Субъекта персональных данных, включая фотографии, записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора;

6) иные категории персональных данных, на получение и обработку которых Субъектом, являющимся Потенциальным контрагентом, будет предоставлено согласие на обработку, при отсутствии иного законного основания для обработки таких персональных данных.

Целью сбора и обработки персональных данных является рассмотрение вопроса о возможности заключения между Оператором и Субъектом персональных данных гражданско-правового договора, а также занесение персональных данных Субъекта в базу данных потенциальных контрагентов Оператора и для формирования кадрового резерва Оператора и Юридических лиц ЭПАМ.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ, для осуществления внутрикорпоративного учета потенциальных контрагентов и формирования единого кадрового резерва в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (юридических, аудиторских, бухгалтерских, охранных и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Потенциальных контрагентов хранятся в бумажном и (или) электронном виде.

Персональные данные Потенциальных контрагентов с целью внутреннего информационного обеспечения Оператора и Юридических лиц ЭПАМ также хранятся в виде общей для Оператора и Юридических лиц ЭПАМ базы данных в Информационной системе Staffing Desk, доступ к которой предоставлен уполномоченным работникам Оператора и Юридических лиц ЭПАМ, которым такие персональные данные необходимы для выполнения их должностных обязанностей.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в иные Информационные системы.

Срок обработки и хранения: обработка и хранение персональных данных Потенциальных контрагентов осуществляется в течение всего срока проведения переговоров с Субъектом с целью решения вопроса о заключении с ним гражданско-правового договора, а также после принятия решения о незаключении с ним в данный момент гражданско-правового договора с целью включения Субъекта в кадровый резерв и базу данных потенциальных контрагентов с его согласия, если более длительный срок обработки и хранения не установлен согласием Субъекта, до момента отзыва согласия таким Потенциальным контрагентом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.8. Практиканты:

Категория Субъектов: физические лица, проходящие практику у Оператора (как они определены в п. 1.2.10 настоящего Положения) и не заключившие с Оператором трудовой договор, то есть не относящиеся к категории Субъектов, указанных в п. 4.4 настоящего Положения.

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, паспортные данные  и все сведения, содержащиеся в документе, удостоверяющем личность (включая паспорт, временное удостоверение личности, иной документ, удостоверяющий личность, в том числе иностранного гражданина и лица без гражданства, беженца), гражданство, а также по инициативе Субъекта: дата (день/месяц/год) и место рождения;

2) сведения об образовании, навыках, в том числе профессиональные сертификаты, участие в профессиональных ассоциациях, сведения об ученых званиях и степенях, образование (в том числе все сведения, содержащиеся в документах об образовании, такие как наименование и адрес образовательного или научного учреждения, период учебы, дата окончания, факультет, полученная квалификация, направление и специальность, уровень владения иностранными языками, сведения об аттестации, повышении квалификации и профессиональной переподготовке, о научных трудах и изобретениях, включая копии всех вышеуказанных документов, сведения о месте прохождения практики, структурном подразделении, характере деятельности, осваиваемой в ходе прохождения практики и начале прохождения практики у Оператора;

3) контактные данные, в том числе адрес электронной почты, телефон (служебный, мобильный), IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, прохождения практики у Оператора, их модели, файлы cookies;

4) информация о физических данных Субъекта персональных данных, включая фотографии, размер футболки, записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора;

5) иные категории персональных данных, на получение и обработку которых Субъектом, являющимся Практикантом, будет предоставлено согласие на обработку, при отсутствии иного законного основания для обработки таких персональных данных.

Целью сбора и обработки персональных данных является обеспечение оформления и ведения отношений между Оператором и Субъектом персональных данных в процессе организации и прохождения Субъектом персональных данных учебной, производственной, преддипломной практики и стажировки в компании Оператора, рассмотрение вопроса о заключении между Оператором и Субъектом персональных данных трудового или гражданско-правового договора по окончании практики, занесение персональных данных Субъекта персональных данных в базу данных потенциальных контрагентов Оператора и для формирования кадрового резерва Оператора и Юридических лиц ЭПАМ.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные о размере футболки Субъектов собираются, обрабатываются и хранятся Оператором исключительно с целью предоставления Субъекту в качестве подарков предметов одежды (например, футболок) с корпоративной символикой Оператора, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для осуществления внутрикорпоративного учета прохождения практики, формирования базы потенциальных контрагентов и единого кадрового резерва в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (юридических, аудиторских, бухгалтерских, охранных и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Субъектов, являющихся Практикантами Оператора, хранятся в бумажном и/или электронном виде.

Кроме того с целью внутреннего информационного обеспечения Оператора и Юридических лиц ЭПАМ часть персональных данных Субъектов, являющихся Практикантами, вносится в общие для Оператора и Юридических лиц ЭПАМ Информационные системы Yammer, UPSA, PEOPLE.EPAM и Telescope, а именно: ФИО, пол, сведения о месте прохождения практики, структурном подразделении, характере деятельности, осваиваемой в ходе прохождения практики и начале прохождения практики у Оператора, текущих проектах, на которых занят Субъект, пройденных курсах и тренингах, непосредственном и вышестоящем руководителе практики, номере рабочей станции, адресе корпоративной электронной почты, фото, сведения об уровне владения иностранным языком, ссылки на аккаунты в Информационных системах Telescope/UPSA/PEOPLE.EPAM и Yammer, сведения об имеющемся образовании.

По желанию Субъекта он также вправе самостоятельно указать в UPSA и иных Информационных системах Оператора, к которым ему был предоставлен доступ, дополнительные сведения о себе и сделать их общедоступными (раскрыть неопределенному кругу лиц), а именно: дата рождения, сведения о профессиональных навыках, сведения о наличии несовершеннолетних детей и дате их рождения, сведения о домашнем адресе, об имеющихся визах, о наличии права управления транспортным средством и сроке его действия, номере личного автомобиля, о размере футболки, о номере личного мобильного телефона, личном идентификационном номере и другие сведения. Внесение Субъектом самостоятельно каких-либо персональных данных в указанную и иные Информационные системы означает его свободное, однозначное, информированное и сознательное согласие с обработкой этих персональных данных Оператором на условиях и для целей, указанных в настоящем Положении. Внесенные самостоятельно Субъектом сведения могут автоматически дублироваться в остальных Информационных системах Оператора и Юридических лиц ЭПАМ в зависимости от функционала таких Информационных систем.

Доступ ко всем указанным персональным данным в Информационных системах имеют все работники, Подрядчики, Практиканты Оператора и Юридических лиц ЭПАМ. Подобный доступ предоставляется с целью упрощения коммуникаций между работниками, Подрядчиками, Практикантами при выполнении ими своих должностных обязанностей, обязательств по гражданско-правовым договорам и прохождении практики в ходе реализации проектов, на которых они задействованы.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в иные Информационные системы.

Срок обработки и хранения: обработка и хранение персональных данных Практикантов осуществляется в течение всего срока прохождения ими практики и решения вопроса о заключении с ними трудового либо гражданско-правового договора, а также после принятия решения о незаключении с Практикантом в данный момент такого договора с целью включения Субъекта в кадровый резерв и базу данных потенциальных контрагентов с его согласия до момента отзыва согласия таким Практикантом, если нет иного законного основания для обработки и хранения персональных данных Субъекта. 

4.9. Иностранные граждане/лица без гражданства/лица, постоянно или временно проживающие за границей:

Категория Субъектов: иностранные граждане/лица без гражданства/лица, постоянно или временно проживающие за границей, прибывающие в Республику Беларусь с целью трудоустройства у Оператора, заключения с Оператором гражданско-правового договора.

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, паспортные данные  и все сведения, содержащиеся в документе, удостоверяющем личность (включая паспорт, дипломатический паспорт, служебный паспорт, паспорт для выезда за границу, удостоверение личности военнослужащего, временное удостоверение личности, иной документ, удостоверяющий личность, в том числе иностранного гражданина и лица без гражданства, беженца), разрешении на временное проживание, виде на жительство, ином документе, предусмотренном законодательством Республики Беларусь или признаваемым в соответствии с международным договором Республики Беларусь в качестве документа, удостоверяющего личность, сведения о поездках и пребывании за границей и о визах (сроки поездки, направление, цель поездки и др.), сведения о цели приезда в Республику Беларусь, о миграционном учете, адрес регистрации по месту жительства и фактический адрес проживания (домашний адрес), гражданство, дата (день/месяц/год) и место рождения, включая копии всех вышеуказанных документов;

2) сведения о работе, включая всю информацию, содержащуюся в трудовом договоре и трудовой книжке, в том числе о предыдущих местах работы (наименование работодателей, их адреса местонахождения, номера телефонов и адреса электронной почты, даты начала и окончания работы, должность, подразделение), а также о текущем месте работы (профессия, должность, подразделение, срок начала работы),  сведения, содержащиеся в разрешении на работу или патенте, включая копии всех вышеуказанных документов;

3) сведения об образовании, навыках и социальном статусе, в том числе профессиональные сертификаты, участие в профессиональных ассоциациях, сведения об ученых званиях и степенях, образование (в том числе все сведения, содержащиеся в документах об образовании, такие как наименование и адрес образовательного или научного учреждения, реквизиты документа об образовании (наименование, серия, номер, дата выдачи), период учебы, дата окончания, факультет, полученная квалификация, направление и специальность, уровень владения иностранными языками, сведения об аттестации, повышении квалификации и профессиональной переподготовке, о научных трудах и изобретениях, семейное положение и состав семьи, даты рождения членов семьи, информация о наличии детей, в том числе несовершеннолетних;

4) контактные данные, в том числе адрес электронной почты, телефон (служебный, мобильный), IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, их модели, файлы cookies;

5) финансовая информация, в том числе сведения о доходах (включая размер заработной платы, доплаты, надбавки, компенсации, меры поощрения и др.), статус налогового резидента;

6) информация о нарушениях законодательства, в том числе о фактах привлечения к административной и уголовной ответственности, о наличии судимости Субъекта (когда и за что) или отсутствии судимости Субъекта, информация о каких-либо судебных разбирательствах с участием Субъекта персональных данных, о наличии факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;

7) информация о состоянии здоровья и физических данных Субъекта персональных данных, Cубъекта, включая информацию о том, состоит ли Субъект на учете в психоневрологических, наркологических и других диспансерных учреждениях, фотографии и видеоматериалы, которые содержат изображения Субъекта, а также любым иным образом используют его (ее) имя, образ, черты, внешний вид и голос, договор (полис) добровольного медицинского страхования, размер футболки, записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора, включая копии всех вышеуказанных документов;

8) иные категории персональных данных, на получение и обработку которых Субъектом будет предоставлено согласие на обработку, при отсутствии иного законного основания для обработки таких персональных данных.

Целью сбора и обработки персональных данных является оказание содействия Субъекту персональных данных в выполнении требований законодательства о правовом положении иностранных граждан в Республике Беларусь, о миграционном учете иностранных граждан и лиц без гражданства в Республике и порядке его осуществления, законодательства о порядке выезда из Республики Беларусь и въезда в Республику Беларусь, оказание содействия в оформлении приглашения, визы на въезд Субъекта персональных данных на территорию Республики Беларусь, оформлении разрешения на трудоустройство,  разрешения на временное проживание, вида на жительство и продлении их срока, переоформлении вышеуказанных документов, постановке на учет по месту пребывания, с целью последующего заключения трудового или гражданско-правового договора между Субъектом персональных данных и Оператором.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для осуществления внутрикорпоративного учета затрат (финансовых, административных, организационных) на оформление приглашений на въезд, виз, разрешений на работу, патентов, разрешений на временное проживание и видов на жительство, продление сроков действия или переоформление вышеуказанных документов для прибывающих с целью трудоустройства у Оператора, заключения гражданско-правового договора с Оператором иностранцев/лиц без гражданства/лиц, постоянно или временно проживающих за границей в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ.

Персональные данные иностранцев/лиц без гражданства/лиц, постоянно или временно проживающих за границей могут также с согласия Субъектов передаваться (в том числе трансгранично) третьим лицам, оказывающим Оператору и/или Юридическим лицам ЭПАМ услуги в области содействия в оформлении, переоформлении, восстановлении, продлении сроков действия приглашений на въезд, виз, разрешений на работу, патентов, разрешений на временное проживание и видов на жительство для Субъектов, постановке на учет по месту пребывания, а также услуги в области бронирования, приобретения, содействия в бронировании и приобретении билетов на все виды транспорта, трансферов, отелей (гостиниц), иных вариантов размещения и т.п., а  также третьим лицам и/или их сотрудникам, осуществляющим представление интересов Оператора в отношениях с государственными и иными органами по вопросам оформления вышеуказанных документов для Субъектов.

Персональные данные Субъектов, указаные в настоящем пункте Положения, хранятся в бумажном виде и (или) в электронном виде в форме электронных вложений в почте, скайпе, иной форме.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в общие для Оператора и Юридических лиц ЭПАМ Информационные системы.

Срок обработки и хранения: обработка и хранение персональных данных Субъектов осуществляется в течение всего срока оформления, переоформления, продления сроков действия документов, указанных в настоящем пункте Положения, и в течение всего срока пребывания иностранного гражданина/лица без гражданства/лица, постоянно или временно проживающего за границей на территории Республики Беларусь, а также в случае заключения с Субъектом гражданско-правового или трудового договора – в течение сроков действия этих договоров, кроме того указанные в настоящем пункте Положения персональные данные могут храниться после этого срока в соответствии с налоговым, трудовым законодательством, законодательством об архивном деле и бухгалтерском учете либо с согласия Субъекта персональных данных до момента отзыва согласия таким Субъектом (например, при включении Субъекта в базу Потенциальных контрагентов или в кадровый резерв после истечения срока действия гражданско-правового или трудового договора, заключенного с ним), если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.10. Члены семьи работников:

Категория Субъектов: члены семьи работников Оператора (муж, жена, дети, родители).

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, дата (день/месяц/год) рождения, копии свидетельств о рождении, свидетельств о браке, смерти;

2) сведения о социальном статусе, в том числе сведения о родственных отношениях с работником Оператора, кроме того по инициативе Субъекта могут обрабатываться следующие категории персональных данных: об инвалидности, включая содержащиеся в справке, подтверждающей факт установления инвалидности, индивидуальной программе реабилитации или абилитации инвалида, иные сведения и документы, подтверждающие особый статус Субъекта, позволяющий получить предусмотренные законодательством или локальными актами Оператора льготы, компенсации и т.п., включая копии всех вышеуказанных документов;

3) контактные данные, в том числе телефон (служебный, мобильный), домашний адрес;

4) информация о физических данных Субъекта персональных данных, а именно записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора;

5) иные категории персональных данных, на получение и обработку которых Субъектом Оператору будет предоставлено согласие на обработку, при отсутствии иного законного основания для обработки таких персональных данных.

Целью сбора и обработки персональных данных является предоставление налоговых льгот и вычетов, иных предусмотренных действующим законодательством и локальными актами Оператора льгот работникам Оператора, а  также рассмотрение вопроса о реализации и (или) реализация с участием Субъекта персональных данных социальных, образовательных, медицинских и иных внутрикорпоративных проектов Оператора, в том числе в рамках предоставления социального пакета  работникам (бесплатные прививки, медицинские, образовательные, физкультурно-оздоровительные и спортивно-развлекательные услуги для членов семьи работников Оператора, новогодние и иные подарки по случаю праздничных дней, выплаты работникам Оператора по случаю регистрации брака, рождения ребенка, предоставление путевок для несовершеннолетних детей работников в оздоровительные и развлекательные лагеря и т.п.), организация корпоративных развлекательных мероприятий с участием Субъекта персональных данных.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ, для осуществления внутрикорпоративного учета предоставляемых работникам Оператора и членам их семей различных бенефитов (социального пакета) в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (юридических, по организации и проведению мероприятий, образовательных, физкультурно-оздоровительных и спортивно-развлекательных, аудиторских, бухгалтерских, охранных, страховых, медицинских и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Субъектов, являющихся членами семьи работников Оператора, хранятся в бумажном виде:

  • в составе личных дел работников;
  • в Личных карточках работников (в соответствующих полях указаны сведения о членах семьи и их датах рождения);
  • бухгалтерские документы, в том числе касающиеся начисления и выплат материальной помощи работникам в связи с семейными событиями, иных видов выплат, предоставления налоговых и иных льгот и т.п., хранятся в виде отдельных подшивок документов бухгалтерского учета.

Кроме того с целью внутреннего информационного обеспечения Оператора и Юридических лиц ЭПАМ часть персональных данных Субъектов, являющихся членами семей работников, может быть внесена таким работником по его желанию самостоятельно в общую для Оператора и Юридических лиц ЭПАМ Информационную систему UPSA, а именно: ФИО, дата рождения несовершеннолетних детей работника.

Доступ к указанным персональным данным Субъектов имеют все остальные работники, Подрядчики, Практиканты Оператора и Юридических лиц ЭПАМ, указанные персональные данные Субъекта из системы UPSA используются исключительно с целью формирования списков несовершеннолетних детей сотрудников для предоставления им новогодних подарков.

Сведения, касающиеся членов семьи работников и начисленных в связи с  семейными событиями сумм выплат, а также предоставленных налоговых и иных льгот и т.п. также вносятся с целью внутреннего информационного обеспечения Оператора и ведения автоматизированного бухгалтерского учета в Информационную систему «1С», доступ к которой предоставлен ограниченному кругу работников Оператора, которым такие сведения необходимы для надлежащего выполнения своих должностных обязанностей.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в иные Информационные системы.

Срок обработки и хранения: обработка и хранение персональных данных Субъектов осуществляется в течение всего срока действия трудового договора с работником Оператора, являющимся членом семьи Субъекта, кроме того указанные в настоящем пункте Положения персональные данные могут храниться после этого срока в соответствии с налоговым, трудовым законодательством, законодательством об архивном деле и бухгалтерском учете, если более длительный срок обработки и хранения не установлен согласием Субъекта, до момента отзыва согласия таким Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта. 

4.11. Посетители офисов Оператора.

Категория Субъектов: физические лица, регулярно или однократно посещающие офисы Оператора (в том числе офисы филиалов).

Категории персональных данных: основная информация о Субъекте, то есть его ФИО, пол, паспортные данные или основные данные документа, удостоверяющего личность (серия и номер, кем и когда выдан), а также записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора.

Целью сбора и обработки персональных данных является соблюдение пропускного режима на территории офиса Оператора, оформление пропусков на территорию офиса Оператора, а  также предоставление Субъекту возможности пользоваться оборудованием и средствами коммуникации (в том числе сеть wi-fi) в период его нахождения в офисах Оператора. Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи третьим лицам, оказывающим Оператору услуги охраны, организации пропускного и внутриобъектного режима, а также арендодателям офисов в случаях, если по условиям договора аренды или отдельно заключаемого договора (соглашения) арендодатель изготавливает и выдает пропуска, организует пропускной и внутриобъектный режим и предоставляет охранные услуги в офисе.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Посетителей офисов Оператора хранятся в бумажном виде в форме Журналов посещений, а также могут храниться в электронном виде.

Перечень лиц (поименно или по должностям), имеющих доступ и ответственных за ведение и сохранность Журнала посещений, утверждается руководителем Оператора либо директором филиала Оператора по каждому из офисов.

Пропуск Посетителей офисов на территорию данных офисов без подтверждения подлинности персональных данных, сообщенных Субъектом персональных данных, осуществляется в следующих случаях:

  • посетитель офиса следует в офис в сопровождении работника Оператора;
  • посетитель офиса является представителем государственных и/или иных органов и следует в офис Оператора в связи с исполнением своих должностных обязанностей, что подтверждается имеющимся у него документом (служебное удостоверение и соответствующее предписание, разрешение, решение, постановление государственного и/или иного органа и т.п.).

Копирование содержащейся в таких Журналах посещений информации не допускается. Персональные данные каждого Субъекта персональных данных могут заноситься в такой Журнал посещений не более одного раза в каждом случае пропуска Субъекта персональных данных на территорию офиса Оператора.

Срок обработки и хранения: обработка и хранение персональных данных Субъектов осуществляется в течение 1 (одного) года, за исключением записей систем видеонаблюдения, срок хранения которых установлен в п. 3.8 настоящего Положения, либо с согласия Субъекта персональных данных до момента отзыва согласия таким Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.12. Представители Оператора:

Категория Субъектов: физические лица, которые на основании выданных Оператором доверенностей осуществляют представление интересов Оператора в отношениях с государственными и муниципальными органами, судебными органами и иными организациями.

Категории персональных данных: основная информация о Субъекте, то есть его ФИО, пол, паспортные данные или основные данные документа, удостоверяющего личность (серия и номер, кем и когда выдан), адрес регистрации по месту жительства, включая копию паспорта, контактные данные (адрес электронной почты, телефон), а также записи систем видеонаблюдения (видеосъемки), установленных в помещениях (офисах) Оператора, в случае посещения Субъектом офисов Оператора.

Целью сбора и обработки персональных данных является надлежащее оформление полномочий представителя Оператора для представления интересов Оператора в государственных и муниципальных органах, судебных органах, а также в отношениях с другими организациями.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Субъекта собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для осуществления внутрикорпоративного учета представителей и выданных доверенностей в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (юридических, аудиторских, бухгалтерских, охранных и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Субъектов хранятся в бумажном виде в форме копий выданных доверенностей с приложением копий документов, удостоверяющих личность Субъекта, а также могут быть сохранены на серверах Оператора и/или Юридических лиц ЭПАМ в виде электронных форм доверенностей в формате word либо pdf.

Срок обработки и хранения: обработка и хранение персональных данных Субъектов осуществляется в течение срока действия выданной Оператором доверенности, а также после завершения срока действия доверенности в течение сроков, предусмотренных законодательством об архивном деле, а также налоговым законодательством и законодательством о бухгалтерском учете, если более длительный срок обработки и хранения не установлен согласием Субъекта, до момента отзыва согласия таким Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.13. Работники, подрядчики, практиканты, соискатели Юридических лиц ЭПАМ:

Категория Субъектов: физические лица, состоящие в трудовых либо гражданско-правовых отношениях с Юридическими лицами ЭПАМ, проходящие практику в Юридических лицах ЭПАМ, претендующие на занятие вакантных должностей в Юридических лицах ЭПАМ, персональные данные которых содержатся в Информационных системах, указанных в п. 1.2.8 настоящего Положения, доступ к которым есть у Оператора.

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, дата (день/месяц/год) рождения;

2) сведения о работе или о выполнении работ, оказании услуг по гражданско-правовому договору, прохождении практики, а именно: наименование работодателя из числа Юридических лиц ЭПАМ, занимаемая должность либо наименование Юридического лица ЭПАМ, заключившего с ним гражданско-правовой договор, вид выполняемых работ, оказываемых услуг, сведения о месте прохождения практики, структурном подразделении, характере деятельности, осваиваемой в ходе прохождения практики, проекты, в реализации которых участвовал Субъект, срок начала работы либо выполнения работ, оказания услуг, срок начала прохождения практики, информация о командировках/иных поездках по заданию Юридических лиц ЭПАМ (сроках, продолжительности, направлениях), аудио- и видеозаписи собеседований, интервью, результаты оценки эффективности (по итогам аттестации, обратной связи), тестовых заданий;

3) сведения об образовании и социальном статусе, а именно: о курсах, тренингах, семинарах, в которых принял участие Субъект в период работы у Юридического лица ЭПАМ либо в период выполнения работ, оказания услуг по заключенному с Юридическим лицом ЭПАМ гражданско-правовому договору, прохождения практики, информация о наличии несовершеннолетних детей, их датах рождения;

4) контактные данные, в том числе адрес электронной почты, телефон (служебный, мобильный), IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором и/или Юридическими лицами ЭПАМ, их модели, файлы cookies;

5) информация о физических данных Субъекта персональных данных, а именно фотографии;

6) иные категории персональных данных.

Целью сбора и обработки персональных данных является надлежащее взаимодействие в ходе реализации проектов для клиентов Оператора и/или Юридических лиц ЭПАМ между Субъектом персональных данных и Работниками, Подрядчиками, Практикантами Оператора и/или Юридических лиц ЭПАМ, а также с другими задействованными в реализации проектов для клиентов Оператора и Юридических лиц ЭПАМ Субъектами, поиск работников на имеющиеся вакантные должности.

Персональные данные в виде фотографий Субъектов, о несовершеннолетних детях Субъектов и о размере футболки Субъектов целенаправленно не собираются и не обрабатываются Оператором, но могут быть получены им случайно в ходе доступа к иной необходимой Оператору информации о Субъекте (например, ФИО, контактные данные), расположенной в Информационной системе, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Аудио- и видеозаписи собеседований, интервью, результаты оценки эффективности (по итогам аттестации, обратной связи), тестовых заданий могут обрабатываться с целью передачи знаний и обмена опытом между Оператором и Юридическими лицами ЭПАМ о порядке, приемах и способах ведения интервью, собеседований, оценки эффективности.

Все указанные в настоящем пункте Положения персональные данные не собираются непосредственно Оператором, а предоставляются ему Юридическими лицами ЭПАМ путем размещения в общих Информационных системах, доступ к которым есть у Оператора (Telescope, UPSA, PEOPLE.EPAM, Yammer, Staffing Desk и др.), после получения Юридическими лицами ЭПАМ всех необходимых согласий (если таковые требуются) от Субъектов персональных данных на такое предоставление и размещение, в связи с чем Оператор не получает никаких согласий от данной категории Субъектов на обработку их персональных данных.

С целью внутреннего информационного обеспечения Оператора и Юридических лиц ЭПАМ персональные данные Субъектов содержатся в общих для Оператора и Юридических лиц ЭПАМ Информационных системах Yammer, UPSA, PEOPLE.EPAM и Telescope, а именно: ФИО, пол, сведения о месте работы, структурном подразделении, занимаемой должности и начале работы у Оператора, сведения о виде выполняемых работ, оказываемых услуг и начале сотрудничества с Оператором  в рамках гражданско-правового договора, сведения о месте прохождения практики, структурном подразделении, характере деятельности, осваиваемой в ходе прохождения практики и начале прохождения практики, текущих проектах, на которых занят Субъект, пройденных курсах и тренингах, режиме занятости, непосредственном и вышестоящем руководителе, номере рабочей станции, служебный номер телефона, адрес корпоративной электронной почты, фото, сведения об уровне владения иностранным языком, ссылки на аккаунты в Информационных системах Telescope/UPSA/ PEOPLE.EPAM и Yammer, сведения об имеющемся образовании.

По желанию Субъекта он также вправе самостоятельно указать в Информационной системе UPSA дополнительные сведения о себе и сделать их общедоступными (раскрыть неопределенному кругу лиц), а именно: дата рождения, сведения о профессиональных навыках, сведения о наличии несовершеннолетних детей и дате их рождения, сведения о домашнем адресе, об имеющихся визах, о наличии права управления транспортным средством и сроке его действия, номере личного автомобиля, о размере футболки, о номере личного мобильного телефона, личном идентификационном номере и другие сведения. Внесение Субъектом самостоятельно каких-либо персональных данных в указанную и иные Информационные системы означает его свободное, однозначное, информированное и сознательное согласие с обработкой этих персональных данных Оператором на условиях и для целей, указанных в настоящем Положении. Внесенные самостоятельно Субъектом сведения могут автоматически дублироваться в остальных Информационных системах Оператора и Юридических лиц ЭПАМ в зависимости от функционала таких Информационных систем.

Доступ ко всем указанным персональным данным в Информационных системах имеют все работники, Подрядчики, Практиканты Оператора и Юридических лиц ЭПАМ. Подобный доступ предоставляется с целью упрощения коммуникаций между работниками, Подрядчиками, Практикантами при выполнении ими своих должностных обязанностей, обязательств по гражданско-правовым договорам и прохождении практики в ходе реализации проектов, на которых они задействованы.

Сведения о командировках (сроках, продолжительности, направлениях), иных деловых визитах Субъектов содержатся также в Информационной системе Concur и доступны уполномоченным работникам Оператора и Юридических лиц ЭПАМ, которым такие персональные данные необходимы для выполнения их должностных обязанностей, с целью содействия в организации командировок, деловых поездок, покупки билетов, бронировании гостиниц, а также подтверждения, оформления и возмещения затрат, понесенных Оператором, Юридическими лицами ЭПАМ либо Субъектом в ходе командировки, деловой поездки, а также третьему лицу, оказывающему услуги по техническому обслуживанию Информационной системы Concur.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в иные Информационные системы.

Срок обработки и хранения: обработка и хранение персональных данных Субъектов осуществляется в течение всего срока действия трудовых либо  гражданско-правовых договоров, заключенных между Субъектами и Юридическими лицами ЭПАМ, а также после завершения срока действия трудовых и гражданско-правовых договоров в соответствии с условиями предоставленного Субъектом Юридическим лицам ЭПАМ согласия (например, при внесении персональных данных таких Субъектов в общую базу потенциальных контрагентов и общий кадровый резерв группы компаний, в которую входит Оператор), если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.14. Сотрудники третьих лиц:

Категория Субъектов: физические лица, состоящие в трудовых либо гражданско-правовых отношениях с третьими лицами, с которыми у Оператора заключены договоры на оказание услуг Оператору (строительных, юридических, аудиторских, бухгалтерских, охранных, клининговых, услуг по поиску и подбору персонала  и т.п.) либо на выполнение Оператором работ, оказание Оператором услуг для таких третьих лиц (в области разработки, сопровождения, тестирования программного обеспечения, оказания консультационных услуг в области информационных технологий и т.п.).

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, паспортные данные или основные данные документа, удостоверяющего личность (серия и номер, кем и когда выдан), адрес регистрации по месту жительства, включая копию паспорта;

2) сведения о работе или о выполнении работ, оказании услуг по гражданско-правовому договору, а именно: наименование нанимателя из числа третьих лиц, с которыми у Оператора заключены договоры, и занимаемая должность либо наименование третьего лица, заключившего с ним гражданско-правовой договор, и вид выполняемых работ, оказываемых услуг;

3) контактные данные, в том числе адрес электронной почты, телефон (служебный, мобильный), IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, их модели, файлы cookies;

4) записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора, в случае посещения Субъектом офисов Оператора;

5) иные категории персональных данных, на получение и обработку которых Субъектом будет предоставлено согласие на обработку, при отсутствии иного законного основания для обработки таких персональных данных.

Персональные данные Субъектов хранятся в бумажном либо электронном виде у работников Оператора, которые непосредственно отвечают за взаимодействие с таким третьим лицом в рамках заключенного с ним договора на оказание услуг.

Целью сбора и обработки персональных данных является надлежащее взаимодействие в ходе реализации проектов для клиентов Оператора и/или в ходе выполнения работ, оказания услуг третьим лицом для Оператора, если непосредственно данный Субъект осуществляет функции, направленные на исполнение обязательств третьего лица по такому договору (например, непосредственно осуществляет охрану, уборку офиса Оператора, аудит бухгалтерской и иной документации Оператора, подбор персонала для Оператора и т.п.), а также организация пропуска Субъекта на территорию офисов Оператора, если это необходимо в ходе исполнения заключенных между Оператором и третьими лицами договоров.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Срок обработки и хранения: обработка и хранение персональных данных Субъектов осуществляется в течение всего срока действия договоров, заключенных между Оператором и третьим лицом, являющимся работодателем Субъекта либо заключившим с Субъектом гражданско-правовой договор, а также после завершения срока действия таких договоров в течение сроков, предусмотренных законодательством об архивном деле, а также налоговым законодательством и законодательством о бухгалтерском учете, если более длительный срок обработки и хранения не установлен согласием Субъекта, до момента отзыва согласия Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.15. Гости:

Категория Субъектов: физические лица (как граждане Республики Беларусь, так и иностранные граждане, лица без гражданства, лица, постоянно или временно проживающие за границей), прибывающие в Республику Беларусь (к Оператору) с целью командировок/деловых визитов, в том числе из-за границы. Указанные физические лица могут, в частности, являться работниками, представителями Оператора и/или Юридических лиц ЭПАМ и заказчиков, клиентов, контрагентов Оператора и/или Юридических лиц ЭПАМ.

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, пол, паспортные данные и все сведения, содержащиеся в документе, удостоверяющем личность (включая паспорт, дипломатический паспорт, служебный паспорт, паспорт для выезда за границу, удостоверение личности военнослужащего, временное удостоверение личности, иной документ, удостоверяющий личность, в том числе иностранного гражданина и лица без гражданства, беженца), разрешении на временное проживание, виде на жительство, ином документе, предусмотренном законодательством Республики Беларусь или признаваемым в соответствии с международным договором Республики Беларусь в качестве документа, удостоверяющего личность, сведения о поездках и пребывании за границей и о визах (сроки поездки, направление, цель поездки и др.), сведения о цели приезда в Республику Беларусь, о миграционном учете, адрес регистрации по месту жительства и фактический адрес проживания (домашний адрес), гражданство, дата (день/месяц/год) и место рождения, включая копии всех вышеуказанных документов;

2) сведения о работе, включая место работы и должность, информацию о командировках/иных деловых поездках (сроках, продолжительности, направлениях);

3) контактные данные, в том числе адрес электронной почты, телефон (служебный, мобильный), IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, их модели, файлы cookies;

4) информация о нарушениях законодательства, в том числе о фактах привлечения к административной и уголовной ответственности, о наличии судимости Субъекта (когда и за что) или отсутствии судимости Субъекта, информация о каких-либо судебных разбирательствах с участием Субъекта персональных данных, о наличии факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;

5) информация о физических данных Субъекта персональных данных, включая фотографии, записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора;

6) иные категории персональных данных, на получение и обработку которых Субъектом будет предоставлено согласие на обработку, при отсутствии иного законного основания для обработки таких персональных данных.

Целью сбора и обработки персональных данных является организация командировки, деловой поездки (бронирование и оплата гостиницы, билетов) Субъекта к Оператору, оказание содействия Субъекту персональных данных в оформлении приглашения, визы на въезд Субъекта персональных данных на территорию Республики Беларусь, переоформлении вышеуказанных документов, с целью посещения, проведения переговоров, обмена опытом Субъектом с Оператором, а также предоставление Субъекту доступа в офис Оператора, возможности пользоваться оборудованием и средствами коммуникации (в том числе сеть wi-fi) в период его нахождения в офисах Оператора.

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности Субъектов персональных данных и обеспечения сохранности имущества Оператора и Субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для осуществления внутрикорпоративного учета командировок и деловых визитов, затрат на них, а также затрат (финансовых, административных, организационных) на оформление приглашений на въезд, виз, продление сроков действия или переоформления вышеуказанных документов для прибывающих с деловыми целями к Оператору представителей, работников Юридических лиц ЭПАМ, представителей клиентов, контрагентов Оператора и/или Юридических лиц ЭПАМ, в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ.

Информация о командировках/деловых поездках (сроках, продолжительности, направлениях) вместе с контактными данными (ФИО, номер телефона, адрес электронной почты) Субъекта могут передаваться (в том числе трансгранично) по запросу работникам Оператора и/или Юридических лиц ЭПАМ с целью обращения за содействием в срочной доставке/передаче через Субъекта документации, почтовой корреспонденции в офис Оператора (в том числе в его филиалы) и/или Юридических лиц ЭПАМ, который планирует посетить Субъект в ходе такой командировки/деловой поездки.

Персональные данные могут также с согласия Субъектов передаваться (в том числе трансгранично) третьим лицам, оказывающим Оператору и/или Юридическим лицам ЭПАМ услуги в области содействия в оформлении, переоформлении, продлении сроков действия приглашений на въезд, виз, а также услуги в области бронирования, приобретения, содействия в бронировании и приобретении билетов на все виды транспорта, трансферов, отелей (гостиниц), иных вариантов размещения и т.п., а  также третьим лицам и/или их сотрудникам, осуществляющим представление интересов Оператора в отношениях с государственными и иными органами по вопросам оформления вышеуказанных документов для Субъектов.

Персональные данные Субъектов, указаные в настоящем пункте Положения, хранятся в бумажном виде в форме подшивок пакетов документов по каждому из Субъектов, а также в электронном виде в форме.

Сведения о командировках (сроках, продолжительности, направлениях) вносятся также в Информационную систему Concur и доступны уполномоченным работникам Оператора и Юридических лиц ЭПАМ, которым такие персональные данные необходимы для выполнения их должностных обязанностей, с целью содействия в организации командировок, покупки билетов, бронировании гостиниц, а также подтверждения, оформления и возмещения затрат, понесенных Оператором либо Субъектом в ходе командировки, а также третьему лицу, оказывающему услуги по техническому обслуживанию Информационной системы Concur.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в общие для Оператора и Юридических лиц ЭПАМ Информационные системы.

Срок обработки и хранения: обработка и хранение персональных данных Субъектов осуществляется в течение всего срока оформления, переоформления, продления сроков действия документов, указанных в настоящем пункте Положения, и в течение всего срока делового визита, поездки, кроме того указанные в настоящем пункте Положения персональные данные могут храниться после этого срока в соответствии с налоговым, трудовым законодательством, законодательством об архивном деле и бухгалтерском учете либо с согласия Субъекта персональных данных до момента отзыва согласия таким Субъектом,  если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.16. Представители участников (собственников долей в уставном капитале) Оператора.

Категория Субъектов: физические лица, которые на основании доверенности, выданной участником Оператора, или учредительных документов (устава) участника Оператора представляют интересы участников Оператора, реализуют права и обязанности участников от их имени, в том числе участвуют в общих собраниях участников и подписывают протокол общих собраний участников, получают информацию о деятельности Оператора, принимают участие в распределении прибыли, иным образом участвуют в управлении делами Оператора.

Категории персональных данных:

1) основная информация  о Субъекте, то есть его ФИО, пол, основание действия от имени участников (доверенность и ее реквизиты или название учредительного документа участника), а также в случае указания таковых в доверенности: паспортные данные, данные иного документа, удостоверяющего личность, адрес регистрации по месту жительства, гражданство, дата (день/месяц/год) и место рождения, включая копии вышеуказанных документов;

2) контактные данные: адрес электронной почты, телефон (служебный, мобильный), IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором, их модели, файлы cookies;

3) иные данные: записи систем видеонаблюдения (видеосъемки), установленных в помещениях Оператора, в случае посещения офисов Оператора.

Целью сбора и обработки персональных данных является подтверждение полномочий Субъекта действовать от имени участников Оператора, обеспечение условий для реализации полномочий Субъекта по представлению интересов участников Оператора, реализации прав и обязанностей участников Оператора от их имени, составление/оформление необходимых внутренних документов Оператора (в том числе, протоколов общих собраний участников).

Записи систем видеонаблюдения (видеосъемки) обрабатываются с целью обеспечения личной безопасности субъектов персональных данных и обеспечения сохранности имущества Оператора и субъектов персональных данных, не используются для идентификации Субъектов и, следовательно, не являются биометрическими персональными данными Субъектов.

Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для осуществления внутрикорпоративного учета представителей участников Юридических лиц ЭПАМ в рамках группы компаний, в которую входят Оператор и Юридические лица ЭПАМ.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми Оператор намерен заключить или с которыми у Оператора заключены договоры на оказание услуг Оператору (юридических, аудиторских, бухгалтерских, охранных и т.п.), в случае, если это необходимо для заключения договора и(или) надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Субъектов хранятся в бумажном виде в форме оригиналов и копий выданных доверенностей, а также в виде внутрикорпоративных документов (протоколов общих собраний участников, копий уставов участников и т.п.), а также на серверах Оператора и/или Юридических лиц ЭПАМ в виде электронных форм доверенностей и других внутрикорпоративных документов в формате word либо pdf.

C целью внутреннего информационного обеспечения Оператора и/или Юридических лиц ЭПАМ персональные данные Субъекта могут включаться в общие для Оператора и Юридических лиц ЭПАМ Информационные системы.

Срок обработки и хранения: обработка и хранение персональных данных Субъектов осуществляется в течение сроков, установленных в соответствии с налоговым, гражданским и иным законодательством, в том числе законодательством хозяйственных обществах (об обществах с ограниченной ответственностью), законодательством об архивном деле и бухгалтерском учете либо с согласия Субъекта персональных данных до момента отзыва согласия таким Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.17. Заявители.

Категория Субъектов: физические лица, направившие обращение/запрос Оператору (в том числе по почте) или оставившие обращение/запрос/отзыв на Сайтах и/или заполнившие на Сайтах какие-либо формы, предусматривающие внесение персональных данных для совершения тех или иных действий на Сайтах (например, для скачивания файлов на Сайте, оставления запроса на организацию встречи в рамках мероприятия, указанного Сайте и др.).

Категории персональных данных:

1) основная информация о Субъекте, то есть его ФИО, сведения о стране или регионе, городе местонахождения, адресе, иные обязательные сведения в соответствии с действующим законодательством об обращении граждан и юридических лиц;

2) сведения о трудовой деятельности, включая наименование работодателя, должность;

3) контактные данные, в том числе адрес для направления ответа на обращение/запрос/отзыв, адрес электронной почты, телефон (мобильный), сведения, собираемые в автоматическом режиме: IP-адреса устройств, используемых Субъектом в ходе взаимодействия с Оператором и посещения Сайтов, тип устройств, дата и время посещения Сайтов, обновления и удаления данных, сведения о действиях на Сайтах (в т.ч. о просматриваемой рекламе, использовании сервисов Сайтов), файлы cookies, в том числе с использованием метрических программ (систем) Яндекс.Метрика, Google Analytics, Google Tag Manager, Google reCAPTCHA, .NET фреймворка, IS3 компонента, провайдеров авторизации Facebook, аккаунта Google, Twitter, Github, Вконтакте и других;

4) иные категории персональных данных, предоставляемые Субъектом самостоятельно, в том числе в своих обращениях/запросах/отзывах или через формы на Сайтах.

Целью сбора и обработки персональных данных является рассмотрение и разрешение по существу обращения/запроса/отзыва, направленного Субъектом (в том числе по почте) или оставленного на Сайтах (в том числе запроса на организацию встречи с представителями Оператора или Юридицических лиц ЭПАМ в рамках мероприятия, указанного на Сайте и проводимого Оператором или Юридическим лицом ЭПАМ), а также предоставление информации в виде файлов, возможность скачивания которых реализована на Сайте, направление новостных рассылок Оператора или Юридицических лиц ЭПАМ, установление обратной связи для указанных выше целей (в том числе уточнение персональных данных, подтверждение достоверности и полноты предоставленных Субъектом сведений и персональных данных и направление ответа по обращению/запросу/отзыву Субъекта), выполнение полномочий и обязанностей, возложенных на Оператора действующим законодательством.

Персональные данные Субъекта персональных данных собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для указанных выше целей.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (юридических, аудиторских, бухгалтерских, рекламных и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Файлы «cookies» обрабатываются с целью улучшения работы Сайтов, повышения удобства и эффективности работы Субъекта с Сайтами, предоставления решений и услуг, наиболее отвечающих потребностям Субъекта, определения предпочтений Субъекта, отображения рекламных объявлений (поведенческой рекламы), а также для предоставления целевой информации по решениям и услугам Оператора и Юридических лиц ЭПАМ, предоставления Субъекту таргетированной рекламы на основе предпочтений/действий Субъекта на Сайтах посредством различных сервисов, таких, как ВКонтакте, Facebook, Instagram, а также для обеспечения технической возможности функционирования Сайтов.

Персональные данные Субъекта хранятся в бумажном виде (письменное обращение/запрос/отзыв и письменный ответ на него) или в электронном виде в Информационных системах Оператора и Юридических лиц ЭПАМ.

Срок обработки и хранения: обработка и хранение персональных данных осуществляется в течение всего срока рассмотрения и разрешения по существу Оператором обращения/запроса/отзыва Субъекта, а в случае оставления обращения/запроса/отзыва через Сайты также в течение всего периода использования Субъектом Сайтов до момента отзыва им согласия, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

4.18. Посетители Сайтов.

Категория Субъектов: физические лица, пользующиеся Сайтами без авторизации/регистрации на данных Сайтах и не предоставляющие целенаправленно свои персональные данные Оператору*.

Категории персональных данных:

сведения, собираемые в автоматическом режиме, в том числе IP-адреса устройств, с помощью которых посещаются Сайты, тип устройств, дата и время посещения Сайтов, обновления и удаления данных, сведения о действиях на Сайтах (в т.ч. о просматриваемой рекламе, использовании сервисов Сайтов), файлы cookies в том числе с использованием метрических программ (систем) Яндекс.Метрика, Google Analytics, Google Tag Manager, Google reCAPTCHA, .NET фреймворка, IS3 компонента, провайдеров авторизации Facebook, аккаунта Google, Twitter, Github, Вконтакте и других.

Целью сбора и обработки персональных данных является улучшение работы Сайтов, повышение удобства и эффективности работы Субъекта с Сайтами, предоставление решений и услуг, наиболее отвечающих потребностям Субъекта, определение предпочтений Субъекта, отображение рекламных объявлений (поведенческой рекламы), а также предоставление целевой информации по решениям и услугам Оператора и Юридических лиц ЭПАМ, предоставление Субъекту таргетированной рекламы на основе предпочтений/действий Субъекта на Сайтах посредством различных сервисов, таких как ВКонтакте, Facebook, Instagram, обеспечение технической возможности функционирования Сайтов.

Персональные данные Субъекта собираются и обрабатываются также с целью их предоставления и передачи (в том числе трансграничной) Юридическим лицам ЭПАМ для указанных выше целей.

Персональные данные Субъектов также могут предоставляться (быть доступны) третьим лицам, с которыми у Оператора заключены договоры на оказание услуг Оператору (технической поддержки, рекламных и т.п.), в случае, если это необходимо для надлежащего оказания услуг такими третьими лицами Оператору.

Персональные данные Субъекта хранятся в электронном виде в Информационных системах Оператора и Юридических лиц ЭПАМ.

Срок обработки и хранения: обработка и хранение персональных данных осуществляется в течение всего периода использования Субъектом Сайтов, до момента отзыва согласия Субъектом, если нет иного законного основания для обработки и хранения персональных данных Субъекта.

*Более подробная информация об обработке персональных данных Субъектов, собираемых на каждом из Сайтов, содержится в размещенных на данных Сайтах документах, в том числе Политиках конфиденциальности, Политиках использования файлов «cookies», дисклеймерах, иных всплывающих обявлениях и текстах Согласий на обработку персональных данных, размещенных на Сайтах.

При использовании Сайтов, авторизации/регистрации на Сайтах Субъектам предоставляется полная информация о порядке обработки их персональных данных, собираемых посредством данных Сайтов. Сбор и обработка персональных данных посреством Сайтов осуществляется только после предоставления Субъектами согласий на обработку их персональных данных. Такое согласие может быть предоставлено путем проставления отметки о согласии в специально отведенном поле на Сайтах, нажатия кнопки «Принять» и иными аналогичными способами. 

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Перечень действий, осуществляемых Оператором с персональными данными: автоматизированная, неавтоматизированная и смешанная обработка, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, размещение в общедоступных источниках персональных данных и распространение (в том числе в сети Интернет), в результате чего персональные данные доступны неограниченному кругу лиц на территории всех стран мира, а также передача персональных данных: (i) по сетям связи общего пользования, (ii) по информационно-телекоммуникационным сетям международного информационного обмена, (iii) трансграничная передача персональных данных на территорию стран, где находятся Юридические лица ЭПАМ, указанные в Приложении № 1 к настоящему Положению.

5.2. Способы, применяемые для обработки Персональных данных: (i) обработка с использованием средств автоматизации; (ii) обработка без использования средств автоматизации (неавтоматизированная); (iii) смешанная обработка; (iv) обработка с получением персональных данных, существующих в электронном виде, путем копирования и иными способами, не уничтожающими персональные данные; (v) хранение персональных данных в бумажном виде, а также в электронном виде на серверах Оператора, Юридических лиц ЭПАМ, их клиентов, заказчиков (в том числе привлеченных ими консультантов (аудиторов, вендоров)), контрагентов, которым такие персональные данные переданы в соответствии с условиями согласия Субъекта на обработку персональных данных и настоящего Положения; (vi) просмотр персональных данных с целью определения, содержится ли в них информация, относящаяся к цели сбора и обработки персональных данных; (vii) предоставление доступа к персональным данным лицам, которым они необходимы для целей выполнения своих должностных обязанностей, обязательств в рамках заключенного с Оператором гражданско-правового договора, в том числе работникам, Подрядчикам, Практикантам Оператора и Юридических лиц ЭПАМ; (viii) предоставление доступа к персональным данным, размещенным в общедоступных источниках и источниках, где персональные данные раскрыты неограниченному кругу лиц на территории всех стран мира или разрешены для распространения самим Субъектом; (ix) другие способы обработки, соответствующие целям сбора и обработки персональных данных.

5.3. Сроки обработки персональных данных по каждой из категорий Субъектов указаны в разделе 4 настоящего Положения. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных или согласием Субъекта персональных данных.

После достижения цели обработки и/или истечения срока обработки персональные данные подлежат уничтожению.

Бумажные носители персональных данных уничтожаются путем измельчения в предназначенных для этого устройствах (шредеры).

С иных носителей (персональные компьютеры, серверы, иные электронные носители информации) персональные данные уничтожаются путем удаления без возможности восстановления.

Уничтожение персональных данных, содержащихся на внешних неперезаписываемых электронных носителях, по окончании срока обработки производится путем механического нарушения целостности внешнего электронного носителя, не позволяющего произвести считывание или восстановление содержания персональных данных.

При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Удаление (стирание) персональных данных из информационных систем персональных данных, из компьютерных файлов или на внешних перезаписываемых электронных носителях производится с использованием средств удаления (стирания) персональных данных и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов). При отсутствии (невозможности использования таких средств) удаление (стирание) персональных данных производится штатными средствами информационной системы персональных данных (персонального компьютера).

5.4. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о защите персональных данных. В поручении Оператора (соглашении, заключенном между Оператором и третьим лицом) должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со Законом о защите персональных данных.

В частности, персональные данные Субъектов могут обрабатываться третьими лицами, оказывающими Оператору охранные, аудиторские, бухгалтерские, юридические, консульские, визовые, туристические, медицинские услуги, услуги по организации и проведению мероприятий, образовательные, физкультурно-оздоровительные и спортивно-оздоровительные услуги, телекоммуникационные, маркетинговые услуги, услуги негосударственного страхования, негосударственного пенсионного обеспечениея, услуги по подбору персонала.

5.5. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Республики Беларусь.

5.6. Меры, необходимые для обеспечения выполнения Оператором обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:

5.6.1. Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных.

5.6.2. назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

5.6.3. ознакомление работников Оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;

5.6.4. установление порядка доступа к персональным данным;

5.6.5. осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, всоответствии с классификацией информационных систем, содержащих персональные данные.

5.6.6. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.

5.6.7. Установление запрета на передачу персональных данных Субъектов по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сети Интернет без применения установленных в Обществе мер по обеспечению безопасности персональных данных (за исключением общедоступных (раскрытых неопределенному кругу лиц самим Субъектом или с его согласия) и (или) обезличенных персональных данных).

5.6.8.   Защиту передаваемых по открытым каналам связи персональных данных, критичных к нарушению их конфиденциальности (персональные данные, не являющиеся общедоступными (раскрытыми неопределенному кругу лиц самим Субъектом или с его согласия) или обезличенными), осуществляемую за счет принятия Оператором следующих мер:

5.6.8.1. исключение передачи персональных данных третьим лицам при отсутствии согласия субъекта персональных данных и иных законных оснований для такой передачи;

5.6.8.2. информирование принимающей стороны в сопроводительном письме или сообщении о том, что передаваемая информация содержит персональные данные, в отношении которых должны соблюдаться требования конфиденциальности.

5.6.9. Получение согласий субъектов персональных данных на обработку их персональных данных, при отсутствии иных законных оснований для обработки их персональных данных.

5.6.10. Информирование получателей документов Оператора, содержащих персональные данные, о необходимости соблюдения конфиденциальности получаемых персональных данных;

5.6.11. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению.

5.7. При обработке персональных данных Оператором принимаются меры по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, указанные в настоящем Положении и в локальных актах Оператора.

5.8. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, могут входить в зависимости от актуальных для конкретной информационной системы угроз:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа (присвоение каждому пользователю уникальной комбинации из логина и пароля, с помощью которых он получает доступ в информационные системы, содержащие персональные данные, автоматическое требование к пользователю о замене пароля на регулярной основе (но не реже одного раза в три месяца) с блокировкой доступа по старому паролю при истечении срока его действия);

ограничение программной среды;

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее – «инциденты»), и реагирование на них;

управление конфигурацией информационной системы и системы защиты персональных данных.

Конкретный состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения необходимого уровня защищенности персональных данных, могут конкретизироваться локальными актами Оператора;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных в соответствии с действующими нормативными актами;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных, которая проводится Оператором самостоятельно либо с привлечением третьего лица;

5) учетом машинных носителей персональных данных (подобный учет у Оператора организуется на основании приказа Оператора);

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

5.9. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из Субъектов персональных данных, осуществляются при непосредственном участии человека.

5.10. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

5.11. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

5.12. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Оператора или лица, осуществляющие такую обработку по договору с Оператором), после ознакомления с настоящим Положением считаются проинформированными Оператором о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных (специальные категории персональных данных; биометрические персональные данные; иные персональные данные, не относящиеся к указанным двум категориям и указанные в разделе 4 настоящего Положения), а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами органов исполнительной власти, а также настоящим Положением.

5.13. При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – «типовая форма»), лицами, обрабатывающими персональные данные, должны соблюдаться следующие условия:

5.13.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес Субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных;

5.13.2. типовая форма должна предусматривать поле, в котором Субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

5.13.3.  типовая форма должна быть составлена таким образом, чтобы каждый из Субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных Субъектов персональных данных;

5.13.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.14. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

5.14.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

5.14.2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

5.15. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

5.16. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

5.17. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Материальные носители персональных данных хранятся в месте нахождения Оператора под контролем уполномоченных Оператором лиц, при этом бумажные носители персональные данных хранятся в запираемом шкафу, тумбе или сейфе.

5.18. Использование и хранение биометрических и специальных категорий персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

5.19. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе, случайного доступа к персональным данным.

5.20. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

5.21. Доступ работников, иных лиц к персональным данным в информационных системах персональных данных Оператора должен требовать обязательного прохождения процедуры идентификации и аутентификации.

5.22. В случае выявления нарушений порядка обработки персональных данных в информационных системах Оператора, уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.

5.23. Контроль за выполнением требований  по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных организуется и проводится Оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите информации. Указанный контроль проводится не реже 1 (одного) раза в 3 (три) года в сроки, определяемые Оператором (уполномоченным лицом).

Кроме того, Оператором в тот же срок проводится общий контроль соблюдения требований к обработке персональных данных у Оператора, направленный на предотвращение и выявление нарушений законодательства Республики Беларусь, устранение последствий таких нарушений. Подобный контроль осуществляется в форме проведения проверки комиссией, назначаемой руководителем Оператора, в состав которой входит лицо, ответственное за организацию обработки персональных данных, а также иные лица на усмотрение руководителя Оператора. Данная комиссия проверяет фактические процессы обработки персональных данных у Оператора на предмет их соответствия действующему законодательству, настоящему Положению, иным локальным актам Оператора, после чего составляет справку о выявленных нарушениях, виновных в этом лицах и возможных способах устранения и направляет её руководителю Оператора для принятия решения о привлечении виновных лиц к ответственности, а также о подлежащих применению мерах по устранению нарушений. 

6. ПРАВОВОЕ ПОЛОЖЕНИЕ ЛИЦА, ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, И РАБОТНИКОВ, ДОПУЩЕННЫХ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Генеральный директор Оператора из числа работников Оператора на основании приказа назначает лицо, ответственное за организацию обработки персональных данных. До момента назначения такого лица ответственность за организацию обработки персональных данных несет Генеральный директор Оператора.

6.2. Лицо, ответственное за организацию обработки персональных данных, вправе требовать от Оператора предоставление следующей информации:

6.2.1. наименование (фамилия, имя, отчество), адрес Оператора;

6.2.2. цель обработки персональных данных;

6.2.3. категории персональных данных;

6.2.4. категории Субъектов, персональные данные которых обрабатываются;

6.2.5. правовое основание обработки персональных данных;

6.2.6. перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных;

6.2.7. описание мер, предусмотренных статьей  17 Закона о защите персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

6.2.8. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

6.2.9. дата начала обработки персональных данных;

6.2.10. срок или условие прекращения обработки персональных данных;

6.2.11. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.

6.3. Лицо, ответственное за организацию обработки персональных данных, обязано обеспечить:

6.3.1. приведение процесса обработки персональных данных Оператором в соответствие с законодательством Республики Беларусь и настоящим Положением;

6.3.2. осуществление внутреннего контроля за соблюдением Оператором и его работниками законодательства Республики Беларусь о персональных данных, в том числе требований к защите персональных данных;

6.3.3. доведение до сведения работников Оператора положений законодательства Республики Беларусь о персональных данных, настоящего Положения и иных локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

6.3.4. организацию приема и обработки обращений и запросов Субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов;

6.3.5. своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства Оператора;

6.3.6. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

6.3.7. возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

6.3.8. постоянный контроль за обеспечением уровня защищенности персональных данных;

6.3.9. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

6.3.10. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

6.3.11. разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

6.3.12. взаимодействие с уполномоченным органом по защите прав субъектов персональных данных;

6.3.13. реализацию мер, необходимых для обеспечения при хранении материальных носителей персональных данных условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

6.3.14. формирование и актуализацию перечня категорий работников, которым предоставляется доступ к персональным данным для исполнения трудовых обязанностей;

6.3.15. актуализацию списка Юридических лиц ЭПАМ (Приложение № 1 к настоящему Положению).

6.4. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от Генерального директора Оператора и подотчетно ему.

6.5. Перечень должностей работников, замещение которых предусматривает предоставление доступа к персональным данным для исполнения трудовых обязанностей, определяется на основании приказа Оператора. Такие лица приступают к обработке персональных данных только после подписания ими обязательства о неразглашении информации, содержащей персональные данные, по форме согласно Приложению № 2 к настоящему Положению.

6.6. Работники Оператора, имеющие доступ к персональным данным, вправе принимать участие в обучении по вопросам защиты персональных данных при их обработке, организуемом лицом, ответственным за организацию обработки персональных данных.

6.7. Работники Оператора, имеющие доступ к персональным данным, обязаны:

6.7.1. не передавать (в любом виде и любыми способами) и не разглашать третьим лицам и работникам Оператора, не имеющим право на получение такой информации в силу выполняемых ими трудовых обязанностей или в соответствии с решением Генерального директора, информацию, содержащую персональные данные (за исключением собственных данных), которая доверена или стала известной в связи с исполнением трудовых обязанностей, соблюдать режим секретности (конфиденциальности) в отношении указанной информации;

6.7.2. в случае попытки третьих лиц или работников Оператора, не имеющих на это право, получить информацию, содержащую персональные данные, (за исключением информации, непосредственно касающейся этих лиц) немедленно сообщать об этом факте своему непосредственному или (в случае отсутствия непосредственного) вышестоящему руководителю или лицу, ответственному за организацию обработки персональных данных;

6.7.3. получать только ту информацию, содержащую персональные данные, которая необходима для выполнения конкретных функций в рамках трудовых обязанностей работника, не использовать информацию, содержащую персональные данные, с какой-либо иной целью кроме как в целях, для которых работнику был предоставлен доступ к персональным данным;

6.7.4. обеспечивать сохранность материальных и иных носителей персональных данных, предотвращать утечку персональных данных или их неправомерное использование, немедленно докладывать непосредственному или (в случае отсутствия непосредственного) вышестоящему руководителю или лицу, ответственному за организацию обработки персональных данных, о фактах несанкционированного разглашения информации, содержащей персональные данные, или потери материальных носителей с информацией, содержащей персональные данные, ключей от помещений, тумб, шкафов, сейфов, где хранится информация, содержащая персональные данные, личных идентификаторов доступа;

6.7.5. выполнять требования Трудового кодекса Республики Беларусь, Закона о защите персональных данных, а также Положения об обработке персональных данных в ИООО «ЭПАМ Системз» и иных внутренних (локальных) документов ИООО «ЭПАМ Системз» и нормативных правовых актов Республики Беларусь, регламентирующих вопросы защиты интересов Субъектов персональных данных, порядка обработки и защиты персональных данных;

6.7.6. после прекращения права на допуск к информации, содержащей персональные данные (изменение трудовой функции на не предусматривающую доступ к персональным данным, или прекращение трудового договора), прекратить обработку персональных данных, ставших известными в связи с исполнением трудовых обязанностей, и не обрабатывать, не разглашать и не передавать (в любом виде и любыми способами) третьим лицам и не уполномоченным на это работникам Оператора известную информацию, содержащую персональные данные, своевременно передать руководителю или другому лицу, ответственному за организацию обработки персональных данных,  носители информации, содержащие сведения о персональных данных, технические средства для работы с этой информацией, полученные или созданные лично или совместно с другими работниками при исполнении трудовых обязанностей и (или) которые были предоставлены в пользование работнику;

6.7.7. осуществлять систематический мониторинг документов, информационных систем, компьютерных файлов, внешних электронных носителей, иных материальных носителей, содержащих персональные данные, используемые работником в целях выполнения должностных обязанностей, и уведомлять своего непосредственного или (в случае отсутствия непосредственного) вышестоящего руководителя или лицо, ответственное за организацию обработки персональных данных, об истечении сроков обработки и хранения таких персональных данных, предусмотренных в настоящем Положении, нормативных актах, заключенных договорах или о наступлении иных законных оснований для прекращения обработки таких персональных данных, ставших известными работнику.

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ, ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ, ЕГО ПРЕДСТАВИТЕЛЯ

7.1. Субъекты персональных данных или их представители имеет право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);

2) правовые основания и цели обработки персональных данных;

3) его персональные данные и источник их получения;

4) наименование и место нахождения Оператора, информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;

5) срок, на который дано его согласие;

6) иную информацию, предусмотренную законодательством.

7.2.  Сведения, указанные в п. 7.1 настоящего Положения, предоставляются Субъекту персональных данных в доступной форме без персональных данных, относящихся к другим Субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде на указанный Субъектом адрес электронной почты. По требованию Субъекта персональных данных они могут быть продублированы письменно. Письменная форма заверяется лицом, ответственным за организацию обработки персональных данных или иным уполномоченным приказом Генерального директора работником, осуществляющим обработку персональных данных.

7.3.  Оператор обязан в течение пяти рабочих дней после получения соответствующего заявления Субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, указанную в п.7.1 настоящего Положения, либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.

7.4.  Заявление (запрос) Субъекта персональных данных должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) Субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения Субъекта персональных данных;

идентификационный номер Субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись Субъекта персональных данных.

7.5. Полномочия представителя на представление интересов каждого Субъекта персональных данных подтверждаются доверенностью, оформленной в порядке, предусмотренным законодательством Республики Беларусь. Копия доверенности представителя, отснятая с оригинала, хранится Оператором не менее 3 (трех) лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.

7.6. В срок, не превышающий 15 (пятнадцать) дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, устаревшими или неточными, Оператор обязан внести в них необходимые изменения.

7.7. В срок, не превышающий 15 (пятнадцать) дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные, .

7.8. Оператор обязан уведомить Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.

7.9. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в срок, установленный законодательством.

7.10. В случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

7.11. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 15 (пятнадцати) дней со дня представления таких сведений и снять блокирование персональных данных.

7.12. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 15 (пятнадцать) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 15 (пятнадцать) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить Субъекта персональных данных или его представителя, а в случае, если обращение Субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.13. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 15 (пятнадцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных законодательством.

7.14. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных и если нет иного законного основания для обработки и хранения персональных данных Субъета, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 15 (пятнадцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных.

7.15. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 7.12-7.14 настоящего Положения, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством.

7.16. Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные по истечении сроков хранения и обработки персональных данных, указанных в согласии Субъекта персональных данных на обработку его персональных данных, а также в сроки, указанные в настоящем Положении. 

8. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ

8.1. Контроль за исполнением настоящего Положения возложен на лицо, ответственное за обработку персональных данных.

8.2. Внутренние проверки соблюдения настоящего Положения и законодательства в области персональных данных проводятся в соответствии с локальными правовыми актами Оператора.

8.3. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной или уголовной ответственности.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1.  Настоящее Положение является локальным правовым актом ИООО «ЭПАМ Системз» и вступает в силу с момента, указанного в документе о его утверждении.

9.2. В отношении случаев, не урегулированных настоящим Положением, Оператор и его работники руководствуются действующим законодательством Республики Беларусь.

9.3. Изменения в Положение вносятся по мере необходимости путем утверждения изменений, дополнений и (или) изложения Положения в новой редакции.