ПОЛИТИКА УЧРЕЖДЕНИЯ В ОТНОШЕНИИ ОБРАБОТКИ, ДОСТУПА И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.

Закон Республики Беларусь о защите персональных данных

ПОЛИТИКА                                              

в отношении обработки персональных данных

г.Гомель

СОДЕРЖАНИЕ:

1. Общие положения
2. Основания для разработки политики обработки персональных данных
3. Основные  понятия, термины и определения, используемые в настоящей политике
4. Перечень персональных данных, обрабатываемых учреждением
5. Цели сбора персональных данных
6. Права и обязанности оператора
7. Права субъекта персональных данных
8. Получение и  обработка  персональных данных
9. Актуализация, исправление, удаление и уничтожение персональных данных
10. Защита персональных данных работников и субъектов персональных данных
11. Ответственность за нарушение требований настоящей политики и заключительные положения.

ГЛАВА 1.

ОБЩИЕ ПОЛОЖЕНИЯ

 1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований абз. 3 п. 3 ст. 17 Закона Республики Беларусь от 07.05.2021 N 99-З "О защите персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.

1.2. Лицом, которое будет осуществлять обработку персональных данных, является Государственное учреждение образования «Детский сад № 117 г.Гомеля», юридический адрес: Республика Беларусь, 2246028, город Гомель, улица Кожара, 17.

1.3. Политика вступает в силу с даты её утверждения и действует в отношении всех персональных данных, которые обрабатывает  Государственное учреждение образования «Детский сад № 117 г.Гомеля» (далее - Оператор).

1.4. Во исполнение требований п. 4 ст. 17 Закона о персональных данных Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

 1.5.  Политика является внутренним документом Оператора. Оператор вправе при необходимости в одностороннем порядке вносить в Политику соответствующие изменения с последующим размещением новой Политики на Сайте. Субъекты самостоятельно получают на сайте информацию об изменениях Политики.

ГЛАВА 2

ОСНОВАНИЯ ДЛЯ РАЗРАБОТКИ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Основанием для разработки настоящей Политики обработки персональных данных в Предприятии являются требования следующих законодательных и нормативно-правовых актов:

Конституция Республики Беларусь;

Трудовой кодекс Республики Беларусь;

Закон Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных»;

Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»

Закон Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации»;

 иные нормативные правовые акты Республики Беларусь.

ГЛАВА 3

ОСНОВНЫЕ  ПОНЯТИЯ, ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ

3.1.Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;

оператор персональных данных - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;

обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

удаление персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 работники — субъекты персональных данных, физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с оператором, в том числе: соискатели (физические лица, желающие вступить в трудовые или иные гражданско-правовые отношения с оператором), физические лица, ранее состоявшие в трудовых и иных гражданско-правовых отношениях с оператором.

персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

ГЛАВА 4

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ УЧРЕЖДЕНИЕМ

4.1. Перечень персональных данных работников и субъектов, обрабатываемых учреждением установлен иными локальными нормативными актами по обработке персональных данных.

4.2. В состав персональных данных  входят:

• сведения, содержащиеся в документах, удостоверяющих личность: Фамилия, Имя, Отчество, пол, дата рождения, серия и номер свидетельства о рождении (паспорта), когда и кем выдан, место рождения, гражданство, адрес регистрации и проживания;
• сведения о родителях (лицах, их заменяющих): Фамилия, Имя, Отчество, место работы, должность, телефон, адрес регистрации и проживания; серия и номер паспорта, когда и кем выдан.
• сведения о семье: социальный статус, количество детей, полнота семьи;
• информация медицинского характера: рост, вес, сведения о прививках, диагноз, группа здоровья, группа по физкультуре;
• иные документы: документы для получения единовременного социального пособия, документы для обеспечения льготным питанием, использование фотографий для сайта, членство в профессиональных союзах, привлечение к административной или уголовной ответственности

4.3. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, здоровья или интимной жизни, а также биометрических и генетических персональных данных в учреждении не допускается и не осуществляется.

ГЛАВА 5

ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5.3. Обработка Оператором персональных данных осуществляется в следующих целях:

 - осуществления деятельности в соответствии с уставом Оператора;

-  осуществления обучения и воспитания в интересах личности, общества, государства, обеспечения охраны здоровья и создания благоприятных условий для разностороннего развития личности и информационного обеспечения управления образовательным процессом:

- подготовки, заключения и исполнения договоров;

- рассмотрения обращений граждан и юридических лиц.

5.4. Обработка персональных данных потенциальных, действующих и бывших работников Оператора может  осуществляться в целях привлечения и отбора кандидатов на работу у Оператора, заключения и исполнения гражданско-правовых, трудовых договоров (контрактов), ведения кадрового делопроизводства, содействия работникам в получении образования, повышении квалификации,  продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, соблюдения режима рабочего времени, обеспечения сохранности имущества, организации пропускного режима, организации постановки на индивидуальный (персонифицированный) учет в системе обязательного пенсионного страхования, заполнения и передачи требуемых форм отчетности, ведения бухгалтерского учета, внутрикорпоративной коммуникации и организации рабочих процессов и в иных целях в соответствии с требованиями действующего законодательства  и локальных правовых актов.

ГЛАВА 6

ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

6.1. Оператор имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;

2) поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

6.2. Оператор обязан:

1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

2) отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;

3) сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;

4) исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.

ГЛАВА 7

ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных имеет право:

1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

2) требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;

3) получать информацию о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;

4) в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;

5) требовать от Оператора блокирования или удаления его персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав; 

6) обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

7.2. Субъект персональных данных несет ответственность за точность, достоверность и актуальность предоставляемых персональных данных в соответствии с законодательством Республики Беларусь. Оператор имеет право осуществлять проверку точности, достоверности и актуальности предоставляемых персональных данных в случаях, объеме и порядке, предусмотренных законодательством.

ГЛАВА 8

ПОЛУЧЕНИЕ И   ОБРАБОТКА  ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Получение персональных данных работника преимущественно осуществляется путем представления их самим работником, при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности, за исключением случаев, прямо предусмотренных действующим законодательством Республики Беларусь. Согласно требованиям статьи 6 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь».

 Предоставление согласия на обработку персональных данных работником для учреждения-оператора, являющегося его Нанимателем не требуется.

8.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.

8.3. Согласие субъекта персональных данных может быть получено как путем собственноручного подписания согласия, так и путем проставления соответствующей электронной отметки на сайте учреждения, иных информационных ресурсах.

8.4. Согласие должно быть свободным, однозначным, целевым и информированным. Перед дачей согласия субъекта персональных данных надо проинформировать о (об):

• названии и местонахождении оператора;

• цели обработки;

• перечне персональных данных;

• сроке, на который дается согласие;

• информации об уполномоченных третьих лицах;

• перечне действий с персональными данными;

•иной информации для «прозрачности» процесса обработки персональных данных

8.5.При даче согласия данный субъект указывает свои фамилию, имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае его отсутствия — номер документа, удостоверяющего его личность, за исключением случая, когда цели обработки персональных данных не требуют обработки этой информации.

8.6. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

8.7. Персональные данные  работников  и субъектов персональных данных хранятся на бумажных носителях и в электронном виде.

8.8. Хранение текущей документации и оконченной производством документации, содержащей персональные данные работников учреждения и субъектов персональных данных, осуществляется в помещениях, предназначенных для хранения отработанной документации. Ответственные лица за хранение документов, содержащих персональные данные работников учреждения и субъектов персональных данных, назначены Приказом руководителя учреждения.

8.9. Хранение документов, содержащих персональные данные работников учреждения и субъектов персональных данных, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

8.10. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных и их ответственности.

8.11. В учреждении право доступа к персональным данным работника и субъектов персональных данных их обработки имеют:

— руководитель учреждения и его заместители;

— делопроизводитель;

— воспитатели дошкольного образования;

— педагог-психолог;

— учитель-дефектолог;

— музыкальный руководитель;

— руководитель физического воспитания;

— сотрудники филиала по Центральному району г.Гомеля государственного учреждения «Гомельский городской центр по обеспечению деятельности бюджетных организаций в сфере образования», в пределах своей компетенции;

— сам работник.

8.12. Обработка персональных данных осуществляется путем:

- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

- получения персональных данных из общедоступных источников;

- внесения персональных данных в журналы, реестры и информационные системы Оператора;

- использования иных способов обработки персональных данных.

8.13. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

8.14. Передача персональных данных правоохранительным и судебным органам, государственным органам и организациям,  иным организациям и учреждениям осуществляется в соответствии с требованиями законодательства Республики Беларусь.

8.15. Оператор осуществляет обработку персональных данных не дольше, чем этого требуют цели обработки персональных данных. Определенный срок обработки персональных данных может быть установлен законодательством Республики Беларусь, договором, согласием субъекта персональных данных.

 8.16. Обработка персональных данных прекращается при наступлении одного или нескольких из указанных событий:

- поступления от субъекта персональных данных отзыва согласия на обработку его персональных данных в установленном порядке;

- достижения целей их обработки;

- истечения срока действия согласия субъекта персональных данных;

- обнаружения неправомерной обработки персональных данных;

- прекращения деятельности организации.

8.17. Учреждение обеспечивает ограничение доступа к персональным данным, не уполномоченным законодательством Республики Беларусь, либо учреждением для получения соответствующих сведений.

8.18. Обработка персональных данных соискателей (кандидатов) на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом Республики Беларусь, предполагает получение письменного согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия Нанимателем решения о приеме либо отказе в приеме на работу и выполнение Нанимателем требований, возложенных на него в статье 5 Закона от 07.05.2021 N 99-З «О защите персональных данных Республики Беларусь». В случае сообщения Нанимателем отказа в приеме на работу обработка персональных данных соискателя подлежит автоматическому прекращению и сами данные уничтожению в связи с достижением цели обработки.

8.19.Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.

ГЛАВА 9

АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 9.1. В случае выявления неточных персональных данных при обращении субъекта персональных данных, получения от него заявления, или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента получения указанного заявления или запроса на период проверки.

9.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет (изменяет) персональные данные в течение 15 дней со дня представления таких сведений и снимает блокирование персональных данных.

9.3. В случае выявления неправомерной обработки персональных данных при получении заявления субъекта персональных данных либо запроса уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения заявления (запроса).

9.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат удалению, если иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных или законодательством.

9.5.  После получения отзыва оператор в 15-дневный срок обязан прекратить сбор персональных данных, удалить их и уведомить об этом пользователя.

9.6. Если же у оператора нет технической возможности удалить персональные данные, то он принимает меры по недопущению их дальнейших обработки, распространения и предоставления (включая обязанность по блокировке данных) и уведомить пользователя в тот же срок.

ГЛАВА 10

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Учреждение при обработке персональных данных работников и субъектов персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

10.3. Обеспечение безопасности персональных данных работников достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) учетом цифровых носителей персональных данных;

5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

10.4. Для обеспечения безопасности персональных данных работников при неавтоматизированной обработке предпринимаются следующие меры:

10.4.1.Определяются места хранения персональных данных, которые оснащаются средствами защиты:

— в кабинетах, где осуществляется хранение документов, содержащих персональные данные работников, имеются сейфы, шкафы, стеллажи, тумбы.

— дополнительно помещения, где осуществляется хранение документов, оборудованы замками.

10.5. Все действия по неавтоматизированной обработке персональных данных работников осуществляются только должностными лицами, согласно списку должностей, утвержденному Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

10.6. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

10.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

10.8. Персональные данные субъектов персональных данных и работников, содержащиеся на материальных носителях уничтожаются по Акту об уничтожении персональных данных.

10.9. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

10.10. Персональные компьютеры, имеющие доступ к базам хранения персональных данных  работников и субъектов персональных данных, защищены паролями доступа. Пароли устанавливаются администратором  и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных на данном ПК.

10.11. Все сотрудники, связанные с получением, обработкой и защитой персональных данных субъектов персональных данных, обязаны соблюдать требования локальных актов учреждения о неразглашении персональных данных.

10.12. Процедура оформления доступа к персональным данным субъектов персональных данных включает в себя:

- Ознакомление сотрудника под роспись с настоящим Положением.

- При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных, с данными актами также производится ознакомление сотрудника под роспись.

- Ознакомление  сотрудника с должностной инструкцией или с дополнением в должностную инструкцию положений о  соблюдении требований и  правил  обработки персональных данных в соответствии с внутренними локальными актами учреждения, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

ГЛАВА 11

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ И ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Лица, виновные в нарушении требований и норм, регулирующих получение, обработку и защиту персональных данных работников и субъектов персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.

11.2. Работники учреждения, допущенные к обработке персональных данных работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Республики Беларусь.

11.3. Внутренний контроль за соблюдением структурными подразделениями Предприятия, законодательства Республики Беларусь о персональных данных и требований настоящей Политики, осуществляется лицом, ответственным за организацию и соблюдение внутреннего контроля.

11.4. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов учреждения  в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных  возлагается на руководителя.

11.5 Настоящая Политика вступает в силу с даты её утверждения.

11.6. При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа руководителя.

11.7. Настоящая Политика распространяется на всех субъектов персональных данных и всех  работников, а также работников учреждения, имеющих доступ и осуществляющих перечень действий с персональными данными субъектов персональных данных и работников.

Субъекты персональных данных имеют право ознакомиться с настоящей Политикой.

11.8. В обязанности Нанимателя входит ознакомление всех работников с настоящей Политикой и лиц, принимаемых на работу до подписания трудового договора, под личную подпись.