Защита персональных данных
Политика Государственного учреждения образования "Детский сад №1 г.Мяделя" в отношении обработки персональных данных
УТВЕРЖДЕНО
Приказ от 31.03.2023 №41
ПОЛИТИКА
в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных субъектов в Государственном учреждении образования «Детский сад №1 г.Мяделя» определяет порядок и условия обработки и защиты персональных данных, которые могут быть получены от субъектов персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных, в том числе Закона Республики Беларусь от 07.05.2021 N 99-З "О защите персональных данных" (далее - Закон о защите персональных данных), Закона Республики Беларусь от 10.11.2008 N 455-З "Об информации, информатизации и защите информации", Закона Республики Беларусь от 21.07.2008 N 418-З "О регистре населения" и др.
В целях реализации положений Политики разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
- Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные (приложение 1 к настоящей Политике);
- иные локальные правовые акты и документы, регламентирующие вопросы обработки персональных данных.
1.3. Нормы Политики распространяются на персональные данные, полученные как до (в пределах ранее согласованных условий обработки персональных данных), так и после утверждения настоящей Политики.
ГЛАВА 2
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ ПРАВОВЫХ АКТАХ ОПЕРАТОРА, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.2. Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
2.3. Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
2.4. Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
2.5. Информация - сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
2.6. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.7. Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
2.8. Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
2.9. Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
2.10. Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
2.11. Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
2.12. Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
2.13. Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
2.14. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
2.15. Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
2.16. Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
ГЛАВА 3
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
- оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
- хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.2. Персональные данные обрабатываются в целях:
- обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Оператора;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- регулирования трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- обеспечения пропускного и внутриобъектового режимов на объектах Оператора;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- проведения опросов и исследований, направленных на выявление удовлетворенности работой учреждения;
- получения и анализа информации, которая может способствовать улучшению качества работы учреждения;
- проведения статистических исследований;
- предоставления информации о проведении специальных мероприятий;
- уведомления субъекта персональных данных о формах работы и услугах, реализуемых Оператором;
- коммуникации с субъектом персональных данных;
- своевременного информирования о работе, презентациях, персональных спецпредложениях и т.п.
- внутрикорпоративного, управленческого учета и анализа деятельности учреждения;
- IP-адреса устройств, с помощью которых посещается сайт Оператора, история браузера, тип устройства, тип операционной системы и компьютера, мобильного браузера, дата и время посещения сайта Оператора (сессии), обновления и удаления данных, сведения о действиях на сайте Оператора обрабатываются с целью улучшения работы сайта Оператора, повышения удобства и эффективности работы с сайтом Оператора, предоставления решений и услуг, наиболее отвечающих потребностям субъекта персональных данных, определения его предпочтений, отображения рекламных, предоставления целевой информации по решениям и услугам Оператора, предоставления субъекту персональных данных на основе предпочтений/действий субъекта персональных данных на сайте Оператора посредством сервисов ВКонтакте, Facebook, Instagram, а также для обеспечения технической возможности функционирования сайта Оператора.
- осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами, либо достижения общественно значимых целей;
- в иных законных целях.
3.3. Записи систем видеонаблюдения (видеосъемки), аудиозаписи, установленных в помещениях Оператора, обрабатываются с целью обеспечения личной безопасности субъекта персональных данных и обеспечения сохранности имущества Оператора и субъектов персональных данных, оценки качества обслуживания сотрудниками Оператора, не используются для идентификации субъекта персональных данных и, следовательно, не являются биометрическими персональными данными субъекта персональных данных.
ГЛАВА 4
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ
4.1. Оператором обрабатываются персональные данные следующих категорий субъектов:
- законных представителей воспитанников (включая лиц, заинтересованных в работе Оператора);
- работников Оператора (включая кандидатов на занятие должностей, стажёров, практикантов, физических лиц, выполняющих работу на условиях гражданско-правового договора);
- других физических лиц, данные которых предоставлены клиентами или работниками Оператора;
- других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в гл. 3 Политики).
ГЛАВА 5
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
5.1. Перечень персональных данных, обрабатываемых Оператором, в отношении клиентов Оператора:
5.1.1 основная информация, то есть ФИО, пол, гражданство, дата (день/месяц/год) и место рождения, адрес/сведения о регистрации/проживании, почтовый индекс, сведения, содержащиеся в документе, удостоверяющем личность;
5.1.2. контактные данные и сведения об активности на сайтах, то есть адрес электронной почты, телефон (мобильный), контакты в чатах и других электронных ресурсах, информация из социальной сети, к которой субъект персональных данных предоставил доступ, включая сетевой идентификатор (ID) своего аккаунта в социальных сетях, информационных системах Оператора, контакты или список «друзей», а также информация, которую субъект персональных данных опубликовал, сделав общедоступной, информация об отзывах, оставленных на сайтах и в мобильном приложении Оператора, IP-адреса устройств, используемых субъектом персональных данных в ходе взаимодействия с Оператором, сведения о действиях на сайтах Оператора, дата и время посещения сайта Оператора (сессии), обновления и удаления данных.
5.1.4. информация о профессиональном и социальном статусе, то есть сведения об образовании, навыках, профессии, занятости, месте работы, поведенческих особенностях, семейном положении, составе семьи, информация о наличии детей, информация о наличии домашних питомцев, информация об увлечениях и хобби.
5.1.5. финансовая информация (на основании запрашиваемых документов).
5.2. Перечень персональных данных, обрабатываемых Оператором, в отношении работников Оператора (включая кандидатов на занятие должностей, стажёров, практикантов, физических лиц, выполняющих работу на условиях гражданско-правового договора):
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- контактные данные;
- сведения об образовании, опыте работы, квалификации;
- персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах;
- изображение (фотография);
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- индивидуальный номер налогоплательщика;
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- данные о регистрации брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения об удержании алиментов;
- сведения о доходе с предыдущего места работы;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
- сведения о членах семьи работников Оператора, включая фамилия, имя, отчество; степень родства; год рождения;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
5.3. Перечень персональных данных, обрабатываемых Оператором, в отношении других субъектов персональных данных, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Оператора с учетом целей обработки персональных данных, указанных в гл. 3 Политики.
5.4. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, Оператором не осуществляется.
ГЛАВА 6
ФУНКЦИИ ОПЕРАТОРА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
- осуществляет ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
- совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
ГЛАВА 7
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
Предоставляя персональные данные других физических лиц (родственников, знакомых, друзей и др.) Оператору, субъект персональных данных гарантирует, что им получено согласие этих лиц на передачу их персональных данных для обработки Оператору в соответствии с целями обработки персональных данных.
7.2. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
7.3. Оператор вправе поручить обработку персональных данных от имени Оператора или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора в соответствии с главой 11 Политики.
7.4. Доступ к обрабатываемым Оператором персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка персональных данных.
ГЛАВА 8
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
8.1. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
8.2. Обработка персональных данных осуществляется следующими способами:
- с использованием средств автоматизации;
- без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
ГЛАВА 9
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Субъекты персональных данных имеют право на:
- отзыв согласия на обработку персональных данных;
- получение информации, касающейся обработки своих персональных данных;
- изменение своих персональных данных;
- получение информации о предоставлении своих персональных данных третьим лицам;
- требовать прекращения обработки персональных данных;
- требовать удаления своих персональных данных;
- обжаловать действия (бездействия) и решения Оператора, связанные обработкой персональных данных.
9.2. Указанные права субъектов персональных данных могут быть реализованы путем подачи заявлений по адресу:
- г. Мядель, ул.1 Мая, д.27
- email (для электронных документов) myadelsad3@myadel.gov.by.
Формы соответствующих заявлений определены в приложениях к Политике.
9.3. Заявление может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Республики Беларусь.
9.4. Если в заявлении субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.5. Субъекту персональных данных может быть отказано в предоставлении информации в соответствии с п. 3 ст. 11 Закона о персональных данных.
ГЛАВА 10
МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
- предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
- разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
- получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
- издание документов, определяющих политику в отношении обработки персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, и документами, определяющими политику в отношении обработки персональных данных;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
- обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;
- прекращение обработки персональных данных при отсутствии оснований для их обработки;
- незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
- осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
- ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
- осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
10.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.
ГЛАВА 11
Поручение обработки.
11.1. Оператор вправе поручить обработку персональных данных уполномоченному лицу.
11.2. В договоре между Оператором и уполномоченным лицом должны быть определены:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
Договор между Оператором и уполномоченным лицом заключается по форме согласно приложению к Политике, если только необходимость иной формы договора не обусловлена особенностями взаимодействия между Оператором и уполномоченным лицом в каждом конкретном случае.
11.3. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.
11.4. В случае если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.