ПОЛОЖЕНИЕ О ПОЛИТИКЕ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение о политике в отношении обработки персональных данных (далее – Положение) определяет деятельность государственного учреждения образования «Лобановская базовая школа» (далее – Оператор, школа) в отношении защиты и обработки персональных данных, включая основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и категории обрабатываемых персональных данных, а также права и обязанности Оператора и субъектов персональных данных.
1.2. Настоящее Положение разработано в соответствии:
Конституцией Республики Беларусь;
Трудовым кодексом Республики Беларусь от 26.07.1999 № 296-З;
Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон);
Законом Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
Законом Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
Иными актами законодательства.
1.3. В настоящем Положении используются следующие основные термины и их определения:
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
1.4. Настоящее Положение регулирует деятельность Оператора при осуществлении обработки персональных данных.
1.5. Нормы Положения являются основой для разработки локальных правовых актов, регламентирующих в школе вопросы обработки персональных данных работников, обучающихся и иных субъектов персональных данных.
1.6. Место нахождения Оператора:
Могилевская область, Чериковский район, агрогородок Лобановка, улица Центральная 16.
1.7. Настоящее Положение вступает в силу с момента ее утверждения и распространяет свое действие на все структурные подразделения школы.
ГЛАВА 2
СУБЪЕКТЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОДЕРЖАНИЕ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор обрабатывает персональные данные, которые могут быть получены от следующих субъектов персональных данных:
работников и бывших работников структурных подразделений школы;
кандидатов на занятие вакантных должностей;
обучающихся (педагогические работники учреждений образования всех квалификационных категорий) и бывших обучающихся школы;
обучающихся (несовершеннолетних) и их законных представителей;
посетителей школы;
пользователей информационных ресурсов школы, в том числе Интернет-ресурсов;
лиц, предоставивших школе персональные данные при отправке обращений, путем заполнения анкет, в ходе проводимых школе мероприятий (конференций, семинаров, конкурсов);
лиц, предоставивших школе персональные данные путем оформления подписок на рассылку, при отправке отзывов, обращений, путем заполнения анкет, в ходе проводимых школой рекламных и иных мероприятий;
лиц, предоставившие персональные данные школе иным путем.
2.2. Оператор обрабатывает следующие персональные данные:
фамилия, имя, отчество (если таковое имеется);
пол;
дата рождения;
идентификационный номер;
адрес электронной почты;
номер телефона;
место проживания;
род занятий (специальность, область профессиональных знаний);
место работы;
данные документа, удостоверяющего личность.
2.2.1 Специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, привлечения к административной или уголовной ответственности.
2.3. Для анализа работы сайтов и сервисов школы обрабатываются следующие данные:
IP-адрес устройства;
информация о браузере;
данные из файлов cookies;
адреса запрошенных страниц;
время доступа.
2.4. При обработке персональных данных Оператор ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.
В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие субъекта персональных данных (приложение 1) на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом и иными законодательными актами.
2.5. Содержание и объем обрабатываемых Оператором персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.6. Оператор обрабатывает персональные данные с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами.
2.7. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2.7.1. После истечения сроков хранения:
документы на бумажных носителях, содержащие персональные данные, уничтожаются;
документы в электронной форме, содержащие персональные данные, удаляются.
2.7.2. Об уничтожении или удалении персональных данных составляется акт об уничтожении или удалении (приложение 2).
ГЛАВА 3
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Школа осуществляет обработку персональных данных работников и обучающихся, а также иных субъектов персональных данных.
3.2. Обработка персональных данных в школе осуществляется с целью обеспечения защиты прав и свобод работников и обучающихся школы, а также иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.
3.3. Школа принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.
3.4. Персональные данные обрабатываются в школе в целях:
осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на школу, в том числе по предоставлению персональных данных в органы государственной власти и управления, а также в иные организации;
осуществления прав и законных интересов школы в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами школы;
рассмотрения возможности трудоустройства кандидатов;
проверки кандидатов (в том числе их квалификации и опыта работы);
регулирования трудовых отношений с работниками школы (в том числе содействие в трудоустройстве, обучение и продвижение по службе, контроль количества и качества выполняемой работы, составление доверенностей и иных уполномочивающих документов);
предоставления родственникам работников льгот и компенсаций;
регулирования образовательных отношений с обучающимися школы;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
проведения различных мероприятий и обеспечения участия в них субъектов персональных данных;
обеспечения пропускного режима на объектах школы; обеспечения безопасности, сохранения товарно-материальных ценностей и предотвращения правонарушений в школе;
формирования справочных и аналитических материалов для внутреннего информационного обеспечения деятельности школы;
исполнения судебных решений, актов уполномоченных органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
передача данных третьим лицам в целях осуществления деятельности школы;
подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;
в иных целях по решению лиц, ответственных за организацию обработки персональных данных в структурном подразделении школы;
заключение, исполнение, изменение и прекращение договоров, в том числе заключённых дистанционным способом, на Сайте школы;
формирование статистической отчетности, проведение исследований в отношении функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на школу;
формирование справочных материалов для внутреннего информационного обеспечения деятельности школы;
обработка обращений и запросов, полученных от субъектов персональных данных;
информирование субъектов персональных данных о деятельности школы, работе и функциях сайтов и сервисов, новых услугах;
иные не запрещенные действующим законодательством Республики Беларусь.
ГЛАВА 4
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ
4.1. Оператор имеет право:
получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь.
4.2. Оператор обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных настоящим Законом и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных настоящим Законом и иными законодательными актами;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные настоящим Законом и иными законодательными актами.
4.3. Субъект персональных данных имеет право:
на получение информации, касающейся обработки своих персональных данных, содержащей:
наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие;
наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством;
на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
на отзыв своего согласия на обработку персональных данных;
на основании заявления (приложение 3), получать информации о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено настоящим Законом и иными законодательными актами;
на прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, если это не препятствует осуществлению функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Оператора;
на обжалование действий (бездействий) и решений оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц;
на осуществление иных прав, предусмотренных законодательством Республики Беларусь.
4.4. Субъект персональных данных обязан:
предоставлять Оператору исключительно персональные данные в объеме, необходимом для целей обработки;
в случае необходимости представлять Оператору документы и информацию, содержащие персональные данные в объеме, необходимом для целей их обработки;
информировать Оператора об изменениях своих персональных данных.
4.5. Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с действующим законодательством Республики Беларусь.
ГЛАВА 5
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор осуществляет обработку персональных данных, под которой понимается любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
5.2. Обработка персональных данных осуществляется:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
5.3. Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
Согласие субъекта персональных данных может быть получено в письменной форме (приложение 1), в виде электронного документа или в иной электронной форме.
В иной электронной форме согласие субъекта персональных данных может быть получено посредством:
указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
других способов, позволяющих установить факт получения согласия субъекта персональных данных.
5.4. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
5.5. В случае смерти субъекта персональных данных, объявления его умершим согласие на обработку его персональных данных дают один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста шестнадцати лет, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку его персональных данных дает один из его законных представителей. Законодательными актами может быть предусмотрен иной возраст несовершеннолетнего, до достижения которого согласие на обработку его персональных данных дает один из его законных представителей.
Лица, указанные в частях первой и второй настоящего пункта, в случае дачи согласия на обработку персональных данных вместо субъекта персональных данных пользуются правами субъекта персональных данных, предусмотренными настоящим Законом.
5.6. Оператор вправе поручить обработку персональных данных уполномоченному лицу на основании договора.
Договор должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона Республики Беларусь от 07 мая 2021 № 99-3 «О защите персональных данных».
ГЛАВА 6
МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Оператор (уполномоченное лицо) определяет состав, и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона и иных актов законодательства.
6.3. Обязательными мерами по обеспечению защиты персональных данных являются:
назначение оператором (уполномоченным лицом), являющимся государственным органом, юридическим лицом Республики Беларусь, иной организацией, структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработку и защиту персональных данных;
издание оператором (уполномоченным лицом), являющимся юридическим лицом Республики Беларусь, иной организацией, индивидуальным предпринимателем, документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;
ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
6.4. Оператор (уполномоченное лицо), являющийся юридическим лицом Республики Беларусь, иной организацией, индивидуальным предпринимателем, обязан обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки.
6.5. Классификация информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных устанавливается уполномоченным органом по защите прав субъектов персональных данных.
ГЛАВА 7
ОТВЕСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Лица, виновные в нарушении законодательства в области защиты персональных данных, несут ответственность, предусмотренную законодательными актами Республики Беларусь.
7.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Вопросы, касающиеся обработки и защиты персональных данных, не закрепленные в настоящем Положении, регулируются действующим законодательством Республики Беларусь.
8.2. В случае, если отдельные нормы Положения противоречат действующем законодательству Республики Беларусь (далее – законодательство), применяются нормы законодательства.
8.3. Институт имеет право по своему усмотрению, в рамках законодательства Республики Беларусь, изменять и (или) дополнять условия настоящего Положения.
8.4. Действующая редакция Положения размещена на официальном сайте http://upklob.cherikov.edu.by
8.5. Контроль за выполнением настоящего Положения возлагается на ответственного за осуществлением внутреннего контроля за обработкой персональных данных.
8.6. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут ответственность в соответствии с действующим законодательством Республики Беларусь.