УТВЕРЖДАЮ
Директор ГУО «Люсинская средняя
школа имени Якуба Коласа»
___________ В.В.Зелёнко
«___»__________20___ г.
ПОЛИТИКА
ГУО «Люсинская средняя школа имени Якуба Коласа»
в отношении обработки персональных данных
Настоящий документ определяет ГУО «Люсинская средняя школа имени Якуба Коласа» (юридический адрес: 225430, Брестская область, Ганцевичский район, аг. Люсино, ул. Школьная, 8 (далее – учреждение) в отношении обработки, доступа и защиты персональных данных (далее – Политика).
ГЛАВА 1
ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ,
ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
1. В настоящей Политике используются термины и определения, закрепленные в Законе Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).
Политика определяется в соответствии со следующими нормативными правовыми актами:
Конституция Республики Беларусь;
Трудовой кодекс Республики Беларусь;
Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»;
Закон Республики Беларусь от 4 января 2010 г. № 108-З «О местном управлении и самоуправлении в Республике Беларусь»;
Закон Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения»;
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» (далее – Закон об информации, информатизации и защите информации);
Декреты Президента Республики Беларусь от 15 декабря 2021 г. № 5; от 12.октября 2021г. № 6;
Закон Республики Беларусь от 15 июля 2015 г. № 305-З «О борьбе с коррупцией»;
иными нормативными правовыми актами и нормативными документами уполномоченных органов государственной власти.
ГЛАВА 2
ОБЩИЕ ПОЛОЖЕНИЯ
2. Политика обработки персональных данных в учреждении определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в учреждении персональных данных, функции учреждения при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.
Обработка персональных данных в учреждении осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется:
на законной и справедливой основе;
соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
обработка персональных данных:
ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
Требования настоящей Политики обязательны для исполнения всеми работниками учреждения, получившими в установленном порядке доступ к персональным данным.
3. Политика действует в отношении всех персональных данных:
работников учреждения;
других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в пункте 4 Политики).
4. Учреждение осуществляет обработку персональных данных в соответствии с законодательством Республики Беларусь и Политикой в целях:
осуществления функций, возложенных на учреждение нормативными правовыми актами Республики Беларусь;
регулирования трудовых отношений с работниками учреждения (содействие в трудоустройстве, обучение, ведение кадрового резерва, обеспечение личной безопасности, обеспечение сохранности имущества и материальных ценностей);
регулирования отношений с законными представителями учащихся, иными лицами, учащимися;
организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
осуществления гражданско-правовых отношений;
предоставления работникам учреждения, и членам их семей дополнительных гарантий и компенсаций;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
обеспечения пропускного режима в учреждении;
контроля, мониторинга, хранения истории и персонификации действий пользователей на автоматизированном рабочем месте и в интегрированной информационной системе учреждения, в Интернете с использованием внешнего IP-адреса, при использовании служебной электронной почты;
выявления конфликта интересов;
осуществления административных процедур;
рассмотрения обращений граждан;
исполнения судебных актов, актов государственных органов и иных организаций, а также должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
идентификации пользователей;
осуществления коммуникаций;
предоставления информации о своей деятельности;
подготовка документов о представлении выпускников учреждения к получению аттестатов об общем среднем образовании особого образца с награждением золотой (серебряной) медалью;
подготовка документов об освобождении учащихся учреждения от итоговой аттестации;
организация участия учащихся в репетиционном тестировании;
организация участия учащихся в национальном экзамене;
подготовка документов для организации обучения учащихся на дому;
организация работы по выявлению и учету детей, находящихся в социально опасном положении и нуждающихся в государственной защите;
организация работы по устранению причин и условий семейного неблагополучия;
ведение базы данных «Дети-сироты»;
ведение регистра населения;
подготовка документов для направления детей в замещающие семьи, интернатные учреждения;
иных законных целях.
Действие Политики распространяется на процессы, в которых осуществляется обработка персональных данных, в том числе с использованием средств автоматизации.
6. Текущая редакция Политики размещена в неограниченном доступе как на сайте учреждения, так и по местонахождению учреждения на информационном стенде первого этажа здания по адресу: Брестская область, Ганцевичский район, аг. Люсино, ул. Школьная, 8.
7. Политика предназначена для ознакомления субъектом персональных данных, в качестве которого может выступать работник учреждения,законный представитель учащегося, иное лицо, учащиеся, предоставляющие учреждению свои персональные данные как в письменном виде на бумажном носителе, так и в электронном виде любым доступным способом, в том числе, посещая интернет-ресурсы или используя информационные системы (ресурсы).
Предоставляя свои персональные данные, субъект персональных данных выражает свое согласие на обработку его персональных данных на условиях, изложенных в Политике, и подтверждает, что ознакомлен с Политикой и согласен с ее условиями.
8. Учреждение не контролирует и не несет ответственности за сайты третьих лиц, на которые субъект персональных данных может перейти по ссылкам, доступным на интернет-ресурсах учреждения, либо на информационных системах (ресурсах) третьих лиц, размещенных на ресурсах учреждения.
ГЛАВА 3
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
9. Учреждение осуществляет обработку персональных данных в целях, указанных в Политике.
Перечень персональных данных, обрабатываемых в учреждение, определяется в соответствии с законодательством Республики Беларусь с учетом целей обработки персональных данных, указанных в пункте 4 Политики.
10. Учреждение передает персональные данные:
субъекту персональных данных в отношении его самого – без ограничений, кроме случаев, прямо предусмотренных требованиями законодательства Республики Беларусь;
третьим лицам – в случаях, предусмотренных требованиями законодательства Республики Беларусь.
11. Обработка персональных данных в учреждении осуществляется следующими способами:
с использованием информационных систем (ресурсов), обеспечивающих автоматическую обработку, хранение информации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
12. Работникам учреждения, имеющим право осуществлять обработку персональных данных в информационных системах учреждения, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями работников учреждения.
14. Обработка персональных данных допускается только с соблюдением требований законодательства Республики Беларусь.
15. В случаях, предусмотренных статьей 6 Закона, в частности, в целях выполнения полномочий, возложенных на учреждение законодательными актами, обработка персональных данных осуществляется без получения согласия субъекта персональных данных.
В иных случаях для обработки персональных данных учреждение получает согласие субъекта персональных данных на такую обработку.
16. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, в порядке, установленном Законом.
17. Поручение обработки персональных данных третьему лицу осуществляется учреждением только в соответствии с законодательством Республики Беларусь.
В случае, если учреждение поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет учреждение. Лицо, осуществляющее обработку персональных данных по поручению учреждения, несет ответственность перед учреждением.
Учреждение принимает необходимые меры по соблюдению третьими лицами, получившими доступ к персональным данным, необходимости не раскрывать их третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь.
Обрабатываемые персональные данные подлежат удалению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Республики Беларусь.
ГЛАВА 4
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
19. Субъекты персональных данных имеют право:
на отзыв согласия на обработку своих персональных данных;
на получение информации, касающейся обработки своих персональных данных;
на изменение своих персональных данных;
на получение информации о предоставлении своих персональных данных третьим лицам;
требовать прекращения обработки своих персональных данных;
требовать удаления своих персональных данных;
обжаловать действия (бездействие) и решения учреждения, связанные с обработкой своих персональных данных;
осуществлять иные права, предусмотренные законодательством Республики Беларусь.
20. Субъект персональных данных для реализации перечисленных прав подает заявление в письменной форме либо в виде электронного документа в адрес учреждения в порядке, установленном законодательством Республики Беларусь.
21. Учреждение в течение пяти рабочих дней после получения заявления заявителя предоставляет ему в доступной форме информацию, касающуюся обработки его персональных данных.
22. Учреждение в пятнадцатидневный срок после получения заявления:
о прекращении обработки персональных данных – удаляет их и уведомляет заявителя об этом при наличии технической возможности, а при отсутствии технической возможности удаления персональных данных – принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомляет об этом заявителя в этот же срок;
о внесении изменений в персональные данные – вносит изменения и уведомляет заявителя об этом либо уведомляет о причинах отказа во внесении таких изменений;
предоставляет заявителю информацию о том, какие персональные данные и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет заявителя о причинах отказа в предоставлении такой информации.
23. Учреждение вправе отказать заявителю в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами, в том числе, если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом заявителя в пятнадцатидневный срок после получения заявления.
ГЛАВА 5
ОСНОВНЫЕ ФУНКЦИИ И ПРАВА ОТВЕТСТВЕННЫХ ЗА ОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
24. Организация работы по осуществлению внутреннего контроля за обработкой персональных данных в отделе возлагается на заместителя директора учреждения.
25. Организация работы по осуществлению внутреннего контроля за обработкой персональных данных включает в себя:
разработку локальных правовых актов по вопросам защиты персональных данных;
мониторинг соблюдения в учреждении требований законодательства и локальных правовых актов в сфере защиты персональных данных, а также контроль наличия в учреждении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
организацию ознакомления работников учреждения и иных лиц, непосредственно осуществляющих обработку персональных данных, с нормами законодательства и локальными правовыми актами в сфере защиты персональных данных, в том числе с требованиями по защите персональных данных, и обучения указанных работников.
26. Ответственный за осуществление внутреннего контроля за обработкой персональных данных вправе:
запрашивать и получать в установленном порядке от работников учреждения, законных представителей учащихся, иных лиц, учащихся сведения, и материалы, необходимые для надлежащего выполнения функций, определенных настоящей Политикой и иными локальными правовыми актами в сфере защиты персональных данных;
вносить на рассмотрение директора учреждения предложения, направленные на устранение причин и условий, способствующих совершению нарушений законодательства и локальных правовых актов в сфере защиты персональных данных, а также на совершенствование внутреннего контроля за обработкой персональных данных;
принимать участие в мероприятиях, проводимых в учреждении по вопросам, касающимся обеспечения защиты персональных данных;
требовать от должностных лиц учреждения принятия в соответствии с компетенцией необходимых мер к соблюдению требований законодательства и локальных правовых актов в сфере защиты персональных данных;
привлекать работников учреждения, обладающих необходимыми знаниями и компетенцией в технической или в иных сферах, к обучению работников и иных лиц, непосредственно осуществляющих обработку персональных данных;
вносить в установленном порядке предложения о привлечении к дисциплинарной ответственности работников учреждения, нарушивших требования законодательства и локальных правовых актов в сфере защиты персональных данных;
выполнять иные обязанности, предусмотренные локальными правовыми актами и организационно-распорядительными документами отдела.
27. Функции, права и обязанности работников учреждения при обработке и осуществлении защиты персональных данных определяются локальными правовыми актами.
ГЛАВА 6
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
28. Учреждение до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанному требованию, может осуществляться только в случаях, предусмотренных статьей 9 Закона.
ГЛАВА 7
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
29. Учреждение при обработке персональных данных руководствуется законодательством Республики Беларусь и принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, а также от иных неправомерных действий в отношении персональных данных.
ГЛАВА 8
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ УЧРЕЖДЕНИЯ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ
30. Контроль за соблюдением работниками учреждения законодательства и локальных правовых актов при обработке персональных данных осуществляется с целью оценки соответствия процесса обработки персональных данных законодательству и локальным правовым актам, а также полноты принимаемых мер, направленных на предотвращение и своевременное выявление нарушений законодательства при обработке персональных данных, возможных каналов утечки и несанкционированного доступа к персональным данным, устранение последствий таких нарушений.
31. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов в области персональных данных учреждения возлагается на должностных лиц учреждения.
32. За нарушение законодательства и локальных правовых актов при обработке персональных данных работники учреждения, по чьей вине произошло такое нарушение, в зависимости от характера и степени нарушения могут быть привлечены к дисциплинарной, административной или уголовной ответственности.
33. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законодательством Республики Беларусь и локальными правовыми актами учреждения в области персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Республики Беларусь. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
- Учреждение при необходимости в одностороннем порядке вносит в настоящую Политику соответствующие изменения с последующим их размещением на сайте учреждения. Субъекты и пользователи самостоятельно получают на сайте информацию об изменениях.
ГЛАВА 9
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
35. Политика вступает в силу с момента ее утверждения директором учреждения.