- ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ от 7 мая 2021 г. No 99-З «О защите персональных данных»
- ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»
- УКАЗ ПРЕЗИДЕНТА РЕСПУБЛИКИ БЕЛАРУСЬ 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»
Политика в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Политика в отношении обработки персональных данных в Государственном учреждении образования «Слободская средняя школа Мозырского района» (далее — Политика), разработана в соответствии с Конституцией Республики Беларусь, Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных», иными законодательными и нормативными правовыми актами Республики Беларусь.
2. Политика является основополагающим документом, регламентирующим обработку персональных данных в Государственном учреждении «Слободская средняя школа Мозырского района» (далее — учреждение образования), при осуществлении всех видов операций, совершаемых с персональными данными с использованием средств автоматизации или без их использования.
3. Политика определяет порядок обработки информации, относящейся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (далее — персональные данные), цели, принципы обработки, перечень субъектов персональных данных и обрабатываемых персональных данных, сроки обработки и хранения персональных данных, способы и условия обработки персональных данных, права и обязанности субъекта персональных данных, обязанности учреждения образования.
4. Требования настоящей Политики обязательны для исполнения всеми работниками учреждение образования, получившими в установленном порядке доступ к обработке персональных данных.
При внесении изменений в акты законодательства, а также в случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящей Политикой, необходимо руководствоваться такими изменениями, иными нормативными правовыми актами до внесения соответствующих изменений в настоящую Политику.
5. Положения настоящей Политики служат основой для разработки локальных правовых актов, регламентирующих в учреждение образования вопросы обработки и защиты персональных данных.
6. Политика является общедоступной и размещается на официальных интернет-сайтах и (или) иных информационных системах учреждения образования (далее — Сайты).
ГЛАВА 2
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
7. В соответствии с Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» для целей настоящей Политики используются следующие основные термины и их определения:
7.1. биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
7.2. блокирование персональных данных — прекращение доступа персональным данным без их удаления;
7.3. генетические персональные данные информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
7.4. обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
7.5. обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
7.6. общедоступные персональные данные персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
7.7. персональные данные любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
7.8. предоставление персональных данных действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
7.9. распространение персональных данных действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
7.10. специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
7.11. субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных;
7.12. трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства;
7.13. удаление персональных данных действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
7.14. физическое лицо, которое может быть идентифицировано, — физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
ГЛАВА З
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. Обработка персональных данных учреждении образования осуществляется в соответствии со следующими принципами:
8.1. обработка персональных данных осуществляется на законной и справедливой основе;
8.2. обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц. Обработка персональных данных осуществляется с согласия Субъекта, за исключением случаев, предусмотренных законодательством;
8.3. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки.
9. В случае необходимости изменения первоначально заявленных целей обработки персональных данных учреждение образования обязано получить согласие Субъекта на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных законодательством.
10. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки.
11. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
12. Обработка персональных данных должна носить прозрачный характер. В этих целях Субъекту в случаях, предусмотренных законодательством, предоставляется соответствующая информация, касающаяся обработки его персональных данных.
13. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать Субъект, не дольше, чем этого требуют заявленные цели обработки персональных данных.
14. Персональные данные относятся к категории конфиденциальной информации.
ГЛАВА 4
ПЕРЕЧЕНЬ ОСНОВНЫХ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ УЧРЕЖДЕНИМ ОБРАЗОВАНИЯ
15. В Учреждении образования могут обрабатываться персональные данные следующих основных категорий субъектов персональных данных (далее — Субъекты):
15.1. физических лиц, являющихся работниками учреждения образования, их близких родственников;
15.2. уволенных работников, являющихся пенсионерами учреждения образования;
15.3. физических лиц, являющихся кандидатами при подборе на занятие должностей служащих (профессий рабочих);
15.4. физических лиц — клиентов, а также участников программы поощрения;
15.5. физических лиц, предоставивших свои персональные данные в процессе регистрации на Сайтах;
15.6. физических лиц, предоставивших свои персональные данные путем заполнения бумажных и (или) электронных анкет в ходе проводимых учреждением образования рекламных и иных мероприятий;
15.7. физических лиц, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и отвечает требованиям, установленным законодательством;
15.8. других физических лиц, обработка персональных данных которых учреждением образования предусмотрена в соответствии с законодательством и локальными правовыми актами с учетом целей обработки персональных данных, указанных в главе 5 настоящей Политики;
15.9. физических лиц, предоставивших учреждению образования персональные данные иным путем.
16. Политика действует также в отношении обрабатываемых учреждением образования персональных данных Субъекта, которые могут быть получены от другого оператора, являющегося нанимателем данного Субъекта.
ГЛАВА 5
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ УЧРЕЖДЕНИЕМ ОБРАЗОВАНИЯ. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
17. Перечень персональных данных, обрабатываемых учреждением образования, определяется в соответствии с законодательством и локальными правовыми актами учреждения образования с учетом целей обработки персональных данных, указанных в настоящей главе Политики.
18. Персональные данные обрабатываются учреждением образования в целях:
18.1. обеспечения соблюдения Конституции, законодательных и иных нормативных правовых актов, локальных правовых актов учреждением образования;
18.2. выполнения функций, полномочий и обязанностей, возложенных на учреждение образования законодательством, международными договорами Республики Беларусь, в том числе для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования, а также в иные государственные органы;
18.3. обеспечения реализации гражданско-правовых, бухгалтерских, налоговых отношений, заключения и исполнения гражданско-правовых договоров, в том числе публичных;
18.4. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
18.5. осуществления прав и законных интересов учреждения образования в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными правовыми актами учреждения образования, или третьих лиц либо достижения общественно значимых целей;
18.6. защиты прав и законных интересов учреждения образования и ее должностных лиц в судах, органах по разрешению споров, административных органах;
18.7. обеспечения реализации трудовых, социальных и информационно-коммуникационных отношений с работниками учреждения образования;
18.8. предоставления работникам учреждением образования и (или) членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
18.9. предоставления уволенным работникам, являющимся пенсионерами учреждения образования, и (или) членам их семей дополнительных гарантий и компенсаций в соответствии с локальными правовыми актами учреждения образования; организации и проведения учреждением образования спортивно-массовых, культурных и профессиональных мероприятий для работников, членов их семей, а также для уволенных работников учреждения образования, являющихся ее пенсионерами;
18.10. обеспечения защиты жизни, здоровья или иных жизненно важных интересов Субъекта;
18.11. обеспечения пропускного и внутриобъектного режимов на территории учреждения образования, обеспечения сохранности имущества;
18.12. формирования справочных материалов для внутреннего информационного обеспечения деятельности учреждения образования;
18.13. ведения корпоративных телефонных и иных информационных справочников, публикации сообщений на внутрикорпоративных порталах, досках почета и в общедоступных информационных системах персональных данных учреждения образования;
18.14. проведения контрольных и аудиторских проверок учреждения образования;
18.15. подготовки доверенностей, выдаваемых работникам учреждения образования, иных организаций и физическим лицам;
18.16. реализации маркетинговых мероприятий (акций, рекламных игр, конкурсов, программ поощрения, рекламных и иных мероприятий);
18.17. улучшения качества оказываемых услуг учреждением образования, предоставления и продвижения услуг учреждения образования, отправки уведомлений, предоставления информации о деятельности учреждения образования;
18.18. предоставления различных сервисов Сайтами;
18.19. отправки персональных предложений, рекламных сообщений, иной информации о нововведениях о предоставлении преференций в соответствии с правилами программы поощрения и других новостях учреждения образования через различные каналы (почтовые, по электронной почте, с использованием СМС, мессенджеров, других служб обмена сообщениями);
18.20. сегментации и аналитики для целей программы поощрения;
18.21. проведения опросов, исследований, обработки полученной информации, в том числе с возможностью использования результатов данных опросов;
18.22. проведения промо-активностей;
18.23. в иных целях, предусмотренных законодательством и локальными правовыми актами учреждения образования.
ГЛАВА 6
СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
19. Обработка персональных данных начинается не ранее возникновения правовых оснований обработки персональных данных, перечисленных в главе 5 Политики.
20. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством и локальными правовыми актами учреждения образования. В этом случае учреждение образования прекращает обработку персональных данных Субъекта, а также осуществляет их удаление (обеспечивает прекращение обработки персональных данных, а также их удаление уполномоченным лицом).
ГЛАВА 7
СПОСОБЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
21. Учреждение образования осуществляет обработку персональных данных:
21.1. с использованием средств автоматизации;
21.2. без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
22. Персональные данные обрабатываются учреждением образования с согласия Субъекта на обработку его персональных данных, если иное не предусмотрено законодательством.
23. Учреждение образования без согласия Субъекта не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
24. Учреждение образования вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
25. Договор должен содержать:
25.1. цели обработки персональных данных;
25.2. перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
25.3. обязанности по соблюдению конфиденциальности персональных данных;
25.4. меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных».
26. Уполномоченное лицо не обязано получать согласие Субъекта.
27. Если для обработки персональных данных по поручению учреждения образования необходимо получение согласия Субъекта, такое согласие получает учреждением образования.
28. В случае, если учреждение образования поручает обработку персональных данных уполномоченному лицу, ответственность перед Субъектом за действия уполномоченного лица несет учреждение образования.
29. Уполномоченное лицо, осуществляющее обработку персональных данных по поручению учреждения образования, несет ответственность перед учреждением образования.
30. Обработка персональных данных разрешается только работникам учреждения образования, занимающим должности служащих (профессии рабочих), включенные в перечень должностей служащих (профессий рабочих) учреждения образования, непосредственно осуществляющих обработку персональных данных.
ГЛАВА 8
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА
31. Субъект осуществляет свои права в объеме и порядке, установленном законодательством.
32. Субъект вправе в любое время без объяснения причин отозвать свое согласие посредством подачи учреждению образования заявления в порядке, установленном законодательством, либо в форме, посредством которой получено его согласие.
33. Субъект имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:
33.1. наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) Оператора;
33.2. подтверждение факта обработки персональных данных учреждением образования (уполномоченным лицом);
33.3. его персональные данные и источник их получения;
33.4. правовые основания и цели обработки персональных данных;
33.5. срок, на который дано его согласие;
33.6. наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
33.7. иную информацию, предусмотренную законодательством.
34. Для получения информации, указанной в части первой настоящего пункта, Субъект подает учреждению образования заявление, при этом Субъект не должен обосновывать свой интерес к запрашиваемой информации.
35. Субъект вправе:
35.1. требовать от учреждения образования внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
35.2. получать от учреждения образования информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательством;
35.3. требовать от учреждения образования бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
35.4. обжаловать действия (бездействие) и решения учреждения образования, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
36. Субъект обязан:
36.1. предоставить учреждению образования достоверные персональные данные;
36.2. своевременно информировать учреждение образования об изменении своих персональных данных в случаях, установленных законодательством;
36.3. исполнять иные обязанности, предусмотренные законодательством.
ГЛАВА 9
ОБЯЗАННОСТИ УЧРЕЖДЕНИЯ ОБРАЗОВАНИЯ
37. Учреждение образования выполняет обязанности в объеме и порядке, установленных законодательством.
38. Учреждение образования обязано:
38.1. разъяснять Субъекту его права, связанные с обработкой персональных данных;
38.2. получать согласие Субъекта, за исключением случаев, предусмотренных законодательством;
38.3. обеспечивать защиту персональных данных в процессе их обработки;
38.4. предоставлять Субъекту информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;
38.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательством либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
38.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;
38.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как учреждение образования стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
38.8. осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных Субъекта по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
38.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
38.10. выполнять иные обязанности, предусмотренные законодательством.
ГЛАВА 10
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
39. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав Субъекта персональных данных, за исключением случаев, предусмотренных законодательством, в том числе, когда дано согласие Субъекта при условии, что Субъект проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты.
40. Уполномоченный орган по защите прав субъектов персональных данных определяет перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав Субъекта.
ГЛАВА 11
РЕАЛИЗАЦИЯ УЧРЕЖДЕНИЕМ ОБРАЗОВАНИЯ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
41. Учреждение образования принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
42. Учреждение образования определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований законодательства.
43. Обязательные меры по обеспечению защиты персональных данных включают в себя:
43.1. назначение учреждением образования структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
43.2. издание учреждением образования локальных правовых актов в развитие политики учреждения образования в отношении обработки персональных данных;
43.3. ознакомление работников учреждения образования и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику учреждения образования в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
43.4. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
43.5. осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
44. Учреждение образования обеспечивает неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к Политике, до начала такой обработки.
ГЛАВА 12
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
45. Учреждение образования при необходимости в одностороннем порядке вносит в Политику соответствующие изменения с последующим размещением новой Политики на Сайтах. Субъекты самостоятельно получают на Сайтах информацию об изменениях.
