ПОЛИТИКА в отношении обработки персональных данных

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана на основании Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о персональных данных), иных нормативных правовых актов Республики Беларусь в области персональных данных и определяет основные принципы, цели, условия и способы обработки персональных данных, обрабатываемых в государственном учреждении образования «Каменская средняя школа Мозырского района» (далее – учреждение, Оператор), основные права и обязанности Оператора и субъекта персональных данных, принимаемые Оператором меры по обеспечению защиты и безопасности персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.

Место нахождения Оператора: 247758, ул. Советская ,17, аг. Каменка, Мозырский район, Гомельская область.

Действующая редакция Политики размещена в свободном доступе на официальном сайте учреждения.

1.2. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в учреждении вопросы обработки персональных данных работников, обучающихся учреждения и других субъектов персональных данных.

Политика действует также для филиала учреждения.

1.3. Для целей Политики используются определения, содержащиеся в Законе о персональных данных. Действие Политики распространяется на физических лиц, в отношении которых учреждение осуществляет обработку персональных данных.

Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения Политики.

         Передавая Оператору персональные данные, в том числе посредством

интернет-ресурсов, субъект персональных данных подтверждает своё согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.

Политика не применяется к обработке персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), а также пользователей интернет-сайта.

ГЛАВА 2

ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в учреждении осуществляется на основе следующих принципов:

2.1.1. осуществляется на законной и справедливой основе;

2.1.2. осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

2.1.3. ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

2.1.4. осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

2.1.5. содержание и объем обрабатываемых персональных данных

соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Работники учреждения, имеющие доступ к персональным данным имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций;

2.1.6. обработка персональных данных носит прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом о персональных данных, может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

2.1.7. учреждение принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

2.1.8. персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

2.2. Целями обработки персональных данных в учреждении являются:

2.2.1. осуществление функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на учреждение, в том числе по предоставлению персональных данных в государственные органы, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные организации;

2.2.2. осуществление прав и законных интересов учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами учреждения, либо достижение общественно значимых целей;

2.2.3. рассмотрение возможности трудоустройства кандидатов; проверки кандидатов (в том числе их квалификации и опыта работы);

2.2.4. регулирование трудовых отношений с работниками учреждения (обучение и продвижение по службе, контроль количества и качества выполняемой работы, выпуска доверенностей и иных уполномочивающих документов, организации и сопровождения деловых поездок, выявление конфликта интересов);

2.3.5. осуществление приема и зачисления лиц для освоения образовательных программ основного и дополнительного образования;

2.2.6. осуществление образовательной деятельности, предусмотренной лицензией на образовательную деятельность, уставом и иными локальными правовыми актами учреждения;

2.2.7. защита жизни, здоровья или иных жизненно важных интересов

субъектов персональных данных;

2.2.8. проведение мероприятий и обеспечения участия в них субъектов

персональных данных;

2.2.9. обеспечение пропускного и внутриобъектового режимов на объектах учреждениеа; обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений в учреждении;

2.2.10. формирование справочных материалов для внутреннего информационного обеспечения деятельности учреждения;

2.2.11. исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;

2.2.12. передача данных третьим лицам в целях осуществления деятельности учреждения;

2.2.13. подготовка, заключение, исполнение и прекращение любых видов договоров; проверка контрагентов;

2.2.14. осуществление административных процедур;

2.2.15. рассмотрение обращений, запросов, получаемых от субъектов персональных данных;

2.2.16. организация и проведение процедур закупок;

2.2.17. в иных целях.

2.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

ГЛАВА 3

ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ

ОБРАБАТЫВАЮТСЯ

3.1. Оператор может обрабатывать персональные данные следующих

субъектов персональных данных:

3.1.1. работников и бывших работников структурных и обособленных

подразделений учреждения;

3.1.2. кандидатов на занятие вакантных должностей;

3.1.3. обучающихся и обучавшихся учреждения и их законных представителей;

3.1.4. абитуриентов и их законных представителей;

3.1.5. работников и иных представителей контрагентов учреждения, являющихся юридическими лицами или индивидуальными предпринимателями; контрагентов - физических лиц;

3.1.6. посетителей учреждения; пользователей информационных ресурсов учреждения, в том числе Интернет-ресурсов;

3.1.7. иных субъектов, взаимодействие которых с Оператором создает необходимость обработки персональных данных.

ГЛАВА 4

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ

В УЧРЕЖДЕНИИ

4.1. Перечень персональных данных, обрабатываемых в учреждении, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами учреждения с учетом целей обработки персональных данных, указанных в главе 2 Политики.

4.2. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.

ГЛАВА 5

ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И

СПОСОБЫ ИХ ОБРАБОТКИ

5.1. Оператор осуществляет обработку персональных данных, под которой понимается любое действие или совокупность действий, совершаемых с персональными данными. Обработка персональных данных включает в себя: сбор, систематизацию, хранение, изменение (уточнение, обновление), использование, распространение, предоставление, обезличивание, блокирование, удаление.

5.2. Обработка персональных данных в учреждении осуществляется следующими способами:

5.2.1. с использованием средств автоматизации;

5.2.2. без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое);

5.2.3. смешанная обработка персональных данных.

ГЛАВА 6

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных в учреждении осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.

В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста шестнадцати лет, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку его персональных данных дает один из его законных представителей.

6.2. Учреждение без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.

6.3. Учреждение вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключаемого с этим лицом договора.

Договор должен содержать:

цели обработки персональных данных;

перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

обязанности по соблюдению конфиденциальности персональных данных;

меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».

6.4. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению учреждения необходимо получение согласия субъекта персональных данных, такое согласие получает учреждение.

6.5. В целях внутреннего информационного обеспечения учреждение может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, год и место рождения, место работы, должность, место учебы, специальность, курс, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

6.6. Доступ к обрабатываемым в учреждении персональным данным разрешается только работникам учреждения.

ГЛАВА 7

ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА

ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор имеет право:

7.1.1. получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;

7.1.2. запрашивать у субъекта персональных данных информацию об

актуальности и достоверности предоставленных персональных данных;

7.1.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить их обработку без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;

7.1.4. в случае необходимости для достижения целей обработки вправе

передавать персональные данные третьим лицам с соблюдением требований

законодательства Республики Беларусь.

7.2. Оператор обязан:

7.2.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

7.2.2. обрабатывать персональные данные в порядке, установленном

законодательством Республики Беларусь;

7.2.3. обеспечивать защиту персональных данных в процессе их обработки;

7.2.4. принимать меры по обеспечению достоверности обрабатываемых персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;

7.2.5. рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы;

7.2.6. предоставлять субъекту персональных данных информацию об его персональных данных, об их предоставлении третьим лицам;

7.2.7. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;

7.2.8. выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.

7.3. Субъект персональных данных имеет право:

7.3.1. получение информации, касающейся обработки персональных данных, и изменение персональных данных в случае, если персональные данные являются неполными, устаревшими или неточными;

7.3.2. на отзыв своего согласия на обработку персональных данных;

7.3.3. на получение информации о предоставлении своих персональных

данных третьим лицам;

7.3.4. на прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки;

7.3.5. на обжалование действий/бездействий и решений учреждения, относящихся к обработке его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством;

7.3.6. на осуществление иных прав, предусмотренных законодательством Республики Беларусь.

7.4. Субъект персональных данных обязан:

7.4.1. предоставлять Оператору достоверные сведения о себе;

7.4.2. в случае необходимости предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для целей их обработки;

7.4.3. информировать в установленные сроки учреждение об изменении своих персональных данных.

7.5. Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.

ГЛАВА 8

МЕХАНИЗМ РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ

ДАННЫХ

8.1. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в письменной форме, направленного заказным почтовым отправлением, либо в виде электронного документа.

Заявление должно содержать:

фамилию, имя, отчество субъекта персональных данных;

адрес места жительства (места пребывания);

дату рождения;

идентификационный номер (если указывался при даче согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных);

изложение сути требования;

личную подпись либо электронную цифровую подпись.

Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству Республики Беларусь), осуществляет их удаление, при отсутствии технической возможности удаления – принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.

8.2. Субъект персональных данных вправе получить у Оператора информацию, касающуюся обработки своих персональных данных, посредством подачи Оператору заявления в порядке, предусмотренном п. 8.1 настоящей Политики. Оператор в течение 5 рабочих дней после получения заявления, если иной срок не установлен законодательством Республики Беларусь, предоставляет субъекту персональных данных соответствующую информацию либо уведомляет его о причинах отказа в предоставлении такой информации.

8.3. Информация, касающаяся обработки персональных данных, не предоставляется субъекту персональных данных в случае, если:

8.3.1. персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством Республики Беларусь,  либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;

8.3.2. обработка персональных данных осуществляется в соответствии с законодательством о государственной статистике, о борьбе с коррупцией;

8.3.3. в иных случаях, предусмотренных законодательными актами Республики Беларусь.

8.4. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными, посредством подачи Оператору заявления в порядке, предусмотренном п. 8.1 настоящей Политики, с приложением документов (заверенных в установленном порядке копий), подтверждающих необходимость внесения таких изменений. Оператор в течение 15 дней после получения заявления вносит изменения в персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет о причинах отказа во внесении изменений.

8.5. Субъект персональных данных вправе получить от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, посредством подачи Оператору заявления в порядке, предусмотренном п. 8.1 настоящей Политики. Оператор в течение 15 дней после получения заявления предоставляет субъекту персональных данных информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет его о причинах отказа в предоставлении такой информации.

8.6. Субъект персональных данных вправе требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки, посредством подачи Оператору заявления в порядке, предусмотренном п. 8.1 настоящей Политики. Оператор в течение 15 дней после получения заявления прекращает обработку персональных данных (если нет оснований для обработки, согласно законодательству Республики Беларусь), осуществляет их удаление, при отсутствии технической возможности удаления – принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта персональных данных в тот же срок.

ГЛАВА 9

МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Учреждение обязано принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, представления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Для защиты персональные данных принимаются следующие меры:

9.2.1. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

9.2.2. доведение до сведения всех заинтересованных лиц настоящей Политики и иных документов в отношении персональных данных;

9.2.3. ознакомление работников учреждения и иных лиц, непосредственно

осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, настоящей Политикой и иными документами в отношении обработки персональных данных;

9.2.4. осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно- аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;

9.2.5. прекращение обработки персональных данных при отсутствии оснований для их обработки;

9.2.6. незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;

9.2.7. изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных.

9.3. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами учреждения, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных учреждения.

ГЛАВА 10

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных.

10.2. Настоящая Политика вступает в силу со дня ее утверждения.

10.3. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.

10.4. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются действующим законодательством.