Государственное учреждение образования «Ворониновская базовая школа» (далее – Ворониновская базовая школа) уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.
Утверждение Положения о политике в отношении обработки персональных данных (далее – Политика) является одной из принимаемых мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З «О защите персональных данных».
ПОЛОЖЕНИЕ
О ПОЛИТИКЕ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГУО «Ворониновская базовая школа»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение о политике в отношении обработки персональных данных (далее – Положение) определяет деятельность государственного учреждения образования «Ворониновская базовая школа» (далее – Оператор, школа) в отношении защиты и обработки персональных данных, включая основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и категории обрабатываемых персональных данных, а также права и обязанности Оператора и субъектов персональных данных.
1.2. Настоящее Положение разработано в соответствии:
Конституцией Республики Беларусь;
Трудовым кодексом Республики Беларусь от 26.07.1999 № 296-З;
Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон);
Законом Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
Законом Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
Иными актами законодательства.
1.3. В настоящем Положении используются следующие основные термины и их определения:
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
1.4. Настоящее Положение регулирует деятельность Оператора при осуществлении обработки персональных данных.
1.5. Нормы Положения являются основой для разработки локальных правовых актов, регламентирующих в школе вопросы обработки персональных данных работников, обучающихся и иных субъектов персональных данных.
1.6. Место нахождения Оператора:
Могилевская область, Быховский район, д.Воронино, ул.Клубная, д.14.
1.7. Настоящее Положение вступает в силу с момента ее утверждения.
ГЛАВА 2
СУБЪЕКТЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОДЕРЖАНИЕ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор обрабатывает персональные данные, которые могут быть получены от следующих субъектов персональных данных:
работников и бывших работников Ворониновской базовой школы;
кандидатов на занятие вакантных должностей;
обучающихся (несовершеннолетних) и их законных представителей;
педагогических работников всех квалификационных категорий и бывших обучающихся;
посетителей Ворониновской базовой школы;
пользователей Интернет-ресурсов Ворониновской базовой школы;
лиц, предоставивших персональные данные при отправке обращений, путем заполнения анкет, в ходе проводимых школе мероприятий (районных, областных и республиканских конкурсов);
лиц, предоставивших персональные данные Ворониновской базовой школе иным путем.
2.2. Оператор обрабатывает следующие персональные данные:
фамилия, имя, отчество (если таковое имеется);
пол;
дата рождения;
идентификационный номер;
адрес электронной почты;
номер телефона;
место проживания;
род занятий (специальность, область профессиональных знаний);
место работы;
данные документа, удостоверяющего личность.
2.2.1 Специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, привлечения к административной или уголовной ответственности.
2.3. В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие субъекта персональных данных (приложение 1) на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом и иными законодательными актами.
2.4. Содержание и объем обрабатываемых Оператором персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.5. Оператор обрабатывает персональные данные с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами.
2.6. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2.7. После истечения сроков хранения:
документы на бумажных носителях, содержащие персональные данные, уничтожаются;
документы в электронной форме, содержащие персональные данные, удаляются.
2.7.1. Об уничтожении или удалении персональных данных составляется акт об уничтожении или удалении (приложение 2).
ГЛАВА 3
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Ворониновская базовая школа обеспечивает защиту прав и свобод работников и обучающихся школы, а также иных субъектов персональных данных, в том числе защиту права на неприкосновенность частной жизни, личную и семейную тайну.
3.2. Ворониновская базовая школа принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.
3.3. Персональные данные обрабатываются в целях:
осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Ворониновскую базовую школа, в том числе по предоставлению персональных данных в органы государственной власти и управления, а также в иные организации;
осуществления прав и законных интересов школы в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами;
рассмотрения возможности трудоустройства кандидатов;
проверки кандидатов (в том числе их квалификации и опыта работы);
регулирования трудовых отношений с работниками Ворониновской базовой школы (в том числе содействие в трудоустройстве, обучение и продвижение по службе, контроль количества и качества выполняемой работы, составление доверенностей и иных уполномочивающих документов);
регулирования образовательных отношений с обучающимися школы;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
обеспечения пропускного режима на объектах школы; обеспечения безопасности, сохранения товарно-материальных ценностей и предотвращения правонарушений;
формирования справочных и аналитических материалов для внутреннего информационного обеспечения деятельности Ворониновской базовой школы;
передача данных третьим лицам в целях осуществления деятельности;
формирование статистической отчетности, проведение исследований в отношении функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на учреждение образования;
формирование справочных материалов для внутреннего информационного обеспечения деятельности Ворониновской базовой школы;
обработка обращений и запросов, полученных от субъектов персональных данных;
иные не запрещенные действующим законодательством Республики Беларусь.
ГЛАВА 4
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ
4.1. Оператор имеет право:
получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь.
4.2. Оператор обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных настоящим Законом и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных настоящим Законом и иными законодательными актами;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные настоящим Законом и иными законодательными актами.
4.3. Субъект персональных данных имеет право:
на получение информации, касающейся обработки своих персональных данных, содержащей:
наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие;
наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством;
на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
на отзыв своего согласия на обработку персональных данных;
на прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, если это не препятствует осуществлению функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Оператора;
на обжалование действий (бездействий) и решений оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц;
на осуществление иных прав, предусмотренных законодательством Республики Беларусь.
4.4. Субъект персональных данных обязан:
предоставлять Оператору персональные данные в объеме, необходимом для целей обработки;
в случае необходимости представлять Оператору документы и информацию, содержащие персональные данные в объеме, необходимом для целей их обработки;
информировать Оператора об изменениях своих персональных данных.
4.5. Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с действующим законодательством Республики Беларусь.
ГЛАВА 5
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор осуществляет обработку персональных данных, под которой понимается любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
5.2. Обработка персональных данных осуществляется:
с использованием средств автоматизации;
без использования средств автоматизации.
ГЛАВА 6
МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Обязательными мерами по обеспечению защиты персональных данных являются:
назначение Оператором (руководителем) должностного лица, ответственного за осуществление внутреннего контроля за обработку и защиту персональных данных;
ознакомление работников и должностных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, установление порядка доступа к персональным данным.
ГЛАВА 7
ОТВЕСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Лица, виновные в нарушении законодательства в области защиты персональных данных, несут ответственность, предусмотренную законодательными актами Республики Беларусь.
7.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Вопросы, касающиеся обработки и защиты персональных данных, не закрепленные в настоящем Положении, регулируются действующим законодательством Республики Беларусь.
8.2. В случае, если отдельные нормы Положения противоречат действующем законодательству Республики Беларусь (далее – законодательство), применяются нормы законодательства.
8.3. Ворониновская базовая школа имеет право по своему усмотрению, в рамках законодательства Республики Беларусь, изменять и (или) дополнять условия настоящего Положения.
8.4. Действующая редакция Положения размещена на официальном сайте https://voronino.schools.by.
8.5. Контроль за выполнением настоящего Положения возлагается на ответственного за осуществлением внутреннего контроля за обработкой персональных данных.
8.6. За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут ответственность в соответствии с действующим законодательством Республики Беларусь.
