УТВЕРЖДЕНО
Приказ заведующего Государственного
учреждения образования «Детский сад №1 г. Иваново"
от 24.11.2021 №126
ПОЛОЖЕНИЕ
о политике Государственного учреждения
образования «Детский сад № 1 г. Иваново»
в отношении обработки персональных данных
ГЛАВА
ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящее Положение о защите персональных данных (далее - Положение) определяет политику Государственного учреждения образования «Детский сад № 1 г. Иваново» (далее - Учреждение) в отношении обработки персональных данных, в том числе обработку персональных данных лиц, не являющихся его работниками, включая порядок сбора, хранения, использования, передачи и защиты персональных данных, в соответствии со статьей 17 Закона Республики Беларусь от 7 мая 2021 г.№ 99‑З «О защите персональных данных» (далее – Закон).
2.Упорядочение обращения с персональными данными имеет целью обеспечить права и свободы граждан при обработке персональных данных, сохранение конфиденциальности персональных данных и их защиту.
3.Положение и изменения к нему утверждаются приказом заведующего Учреждением.
4.Положение является локальным правовым актом Учреждения, обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Положением.
ГЛАВА 2
ОСНОВНЫЕ ПОНЯТИЯ
5.В настоящем Положении используются следующие основные понятия и термины:
учреждение или Оператор – Государственное учреждение образования «Детский сад №1 г.Иваново», расположенное по адресу: 225793, г.Иваново, ул.Первомайская, д.18;
персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
субъект персональных данных – физическое лицо, в отношении которого Учреждением осуществляется обработка персональных данных, в том числе физическое лицо, не являющееся работником Учреждения, к которому относятся обрабатываемые персональные данные;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
обработка персональных данных с использованием средств автоматизации - обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержаться в информационной системе персональных данных либо были извлечены из нее;
обработка персональных данных без использования средств автоматизации –действие с персональными данными, такие как использование, уточнение, распространение, уничтожение, осуществляемые при непосредственном участии человека, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных и др.);
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
специальные персональные данные – персональные данные, касающиеся расового либо национальной принадлежности, политических взглядов членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Иные термин и их определения, употребляющиеся в настоящем Положении, используются в значениях, определенных законодательством.
ГЛАВА 3
ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.Обработка персональных данных осуществляется на основе следующих принципов:
осуществляется с согласия субъекта персональных данных, за исключением случаев, установленных законодательством. Субъект персональных данных дает согласие на обработку персональных данных на неопределенный срок, если иное не предусмотрено законодательством;
ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям обработки;
должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.
7.Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
ГЛАВА 4
ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.Учреждение осуществляет персональные данные работников, соблюдая требования законодательства и исключительно в целях трудоустройства, заключения трудовых отношений, получения работниками образования и продвижения по работе, контроля количества и качества выполняемой работы, обеспечения трудовой и исполнительской дисциплины и сохранности имущества.
Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т.д. – Учреждение обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по законодательству и локальным правовым актам Государственного учреждения образования «Детский сад №1 г.Иваново».
- Целями обработки в Учреждении персональных данных являются:
осуществление и выполнение функций, полномочий и обязанностей, возложенных на Учреждение учредительными документами, законодательством Республики Беларусь международными договорами Республики Беларусь;
заключение с субъектами персональных данных любых видов договоров и их последующего исполнения;
осуществление приема и зачисления лиц для освоения образовательных программ дошкольного и дополнительного образования;
осуществление образовательной деятельности, предусмотренной Уставом и иными локальными правовыми актами Учреждения;
ведение кадровой работы и организации учета работников Учреждения, в том числе привлечение и отбор кандидатов для работы в Учреждении;
осуществление административных процедур;
ведение кадрового резерва;
проверка кандидатов при трудоустройстве в Учреждение ( в т.ч. их квалификации и опыта работы);
предоставление родственникам работников льгот и компенсаций;
выявление конфликта интересов;
организация и сопровождение деловых поездок;
регулирование трудовых отношений с работниками Учреждения (обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы);
обеспечение безопасности на территории Учреждения, в т.ч. пропускного режима;
охрана материальных ценностей и предотвращение правонарушений;
ведение индивидуального (персонифицированного) учета застрахованных лиц;
ведение воинского учета;
ведение бухгалтерского и налогового учета;
исполнение обязанностей налогового агента;
начисление и перечисление заработной платы, назначение и выплата пособий;
заполнение и передача в государственные органы и иные уполномоченные организации требуемых форм отчетности;
обработка персональных данных в целях назначения пенсии;
осуществление хозяйственной деятельности в рамках осуществления видов деятельности, предусмотренных уставом и иными локальными правовыми актами Учреждения;
исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
использование персональных данных в справочных материалах, рекламных и маркетинговых целях, в том числе направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного и рекламного характера, связанных с продукцией (работами, услугами) Оператора;
предоставление субъекту персональных данных доступа к сервисам Оператора;
обработка обращений о негативных явлениях и побочных эффектах, сообщений и запросов, поступивших от субъекта персональных данных;
в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства.
ГЛАВА 5
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ УЧРЕЖДЕНИЕМ
- Оператор может обрабатывать персональные данные следующих субъектов персональных данных:
кандидаты на работу в Учреждение, работники Учреждения, в том числе бывшие работники и их близкие родственники;
лица, являющиеся кандидатами в резерв руководящих кадров;
лица, не являющиеся работниками, при обработке наградных документов работников Учреждения;
обучающиеся, осваивающие образовательные программы дошкольного и дополнительного образования;
учащиеся, студенты, слушатели иных учреждений образования Республики Беларусь, прибывшие в Учреждение на практику (производственное обучение), стажировку в рамках сетевых форм взаимодействия;
пользователи сервисов Оператора;
физические лица, предоставившие персональные данные Учреждению иным путем;
иные субъекты персональных данных, взаимодействие которых с Оператором создает необходимость обработки персональных данных.
11.К персональным данным субъектов персональных данных, обрабатываемым Учреждением относятся:
фамилия (а также все предыдущие фамилии), собственное имя, отчество (если таковое имеется);
пол;
число, месяц, год рождения;
идентификационный номер (если таковой имеется);
цифровой фотопортрет;
данные:
о гражданстве (подданстве);
виз и иных документов миграционного учета;
о регистрации по месту жительства и (или) месту пребывания (включая адрес, дату регистрации);
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);
о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
о составе семьи с указанием фамилий, имен и отчеств (если таковые имеются) членов семьи, даты рождения, места работы и/или учебы;
биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;
об образовании, ученой степени, ученом звании (сведения о документе об образовании (серия, номер, дата выдачи, и др.);
сведения о документе об ученом звании и (или) ученой степени (серия, номер, дата выдачи, и др.);
о роде занятий (сведения о специальности, профессии, квалификации);
о занимаемой должности;
сведения из Единого государственного регистра юридических лиц и индивидуальных предпринимателей;
о заработной плате;
о доходах обучающегося;
банковские данные;
о пенсии, ежемесячном денежном содержании по законодательству, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;
о налоговых обязательствах, идентификационном номере налогоплательщика;
об исполнении воинской обязанности;
о номере водительского удостоверения;
сведения:
о награждениях и поощрения работников и обучающихся Оператора;
о стаже работы;
о наличии квалификационной категории;
о социальных льготах и выплатах;
о предоставлении налоговых вычетов;
о свидетельстве о регистрации права собственности;
медицинского характера (в случаях, предусмотренных законодательством);
о повышении квалификации, профессиональной подготовке, стажировке;
о наличии исполнительного производства на исполнении в органах принудительного использования;
сведения о членстве в профсоюзах, и иных общественных объединениях;
сведения о привлечении к административной или уголовной ответственности;
о контактных данных (включая номера рабочего и/или мобильного телефона, электронной почты и др.);
предоставленные самим кандидатом в ходе заполнения личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
иные данные и сведения, необходимые для исполнения взаимных прав и обязанностей между Учреждением и субъектами персональных данных.
12.Оператором может обрабатываться следующая техническая информация:
IP-адрес;
информация из браузера;
данные из файлов cookie;
адрес запрашиваемой страницы;
история запросов и просмотров на интернет-ресурсах Оператора.
13.Оператор обрабатывает специальные персональные данные только при условии согласия субъекта персональных данных либо без согласия в случаях, предусмотренных законодательством.
ГЛАВА 6
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
14.Оператор имеет право:
получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;
в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и иными актами законодательства, если иное не предусмотрено Законом.
15.Оператор обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными актами законодательства;
обеспечивать защиту персональных данных в процессе их обработки;
предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечить прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
уведомлять Национальный центр защиты персональных данных Республики Беларусь о нарушениях системы защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных Национальным центром защиты персональных данных Республики Беларусь;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию Национального центра защиты персональных данных Республики Беларусь, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования Национального центра защиты персональных данных Республики Беларусь об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.
ГЛАВА 7
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
16.Субъект персональных данных имеет право:
получать информацию, касающуюся обработки его персональных данных;
получать от Оператора информацию о предоставлении своих персональных данных третьим лицам на условиях, определенных Законом;
отзывать согласие на обработку персональных данных;
обжаловать в Национальный центр защиты персональных данных Республики Беларусь или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
требовать от Оператора:
изменения его персональных данных в случае, если персональные данные являются неполными или устаревшими;
бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
получать любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты;
осуществления иных прав, предусмотренных законодательством Республики Беларусь.
17.Субъект персональных данных обязан:
предоставлять Оператору достоверные данные о себе;
сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с действующим законодательством.
ГЛАВА 8
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
18.Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации так и без использования средств автоматизации) обработки, в том числе с использование внутренней сети и сети Интернет.
19.В случаях, установленных законодательством Республики Беларусь, основным условием обработки персональных данных является получение согласия соответствующего субъекта персональных данных, в том числе в письменной форме.
20.Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:
фамилию, собственное имя, отчество (если таковое имеется), адрес его места жительства (пребывания);
дату рождения;
идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность;
личную подпись субъекта персональных данных.
21.Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в следующих случаях:
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
в целях осуществления контроля (надзора) в соответствии с законодательными актами;
при реализации норм законодательства в области национальной безопасности, борьбы с коррупцией, предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
при реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь, депутата местного Совета депутатов;
для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
для осуществления нотариальной деятельности;
при рассмотрении вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь;
в целях назначения и выплаты пособий;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
при осуществлении учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещения расходов на электроэнергию, платы за другие услуги и возмещения налогов, а также при предоставлении льгот и взыскании задолженности по плате за жилищно-коммунальные услуги, плате за пользование жилым помещением и возмещению расходов на электроэнергию;
при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
в целях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации, организации, осуществляющей издательскую деятельность, направленных на защиту общественного интереса, представляющего собой потребность общества в обнаружении и раскрытии информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде, информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, общественными деятелями, за исключением случаев, предусмотренных гражданским, процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
22.Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев:
если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
при обработке общественными объединениями, политическими партиями, профессиональными союзами, религиозными организациями персональных данных их учредителей (членов) для достижения уставных целей при условии, что эти данные не подлежат распространению без согласия субъекта персональных данных;
в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов, совершения исполнительной надписи, оформления наследственных прав;
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь, о гражданстве, о порядке выезда из Республики Беларусь и въезда в Республику Беларусь, о статусе беженца, дополнительной защите, убежище и временной защите в Республике Беларусь;
в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;
в целях ведения криминалистических учетов;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
для осуществления административных процедур;
в связи с реализацией международных договоров Республики Беларусь о реадмиссии;
при документировании населения;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
23.Сбор персональных данных:
23.1.источником информации обо всех персональных данных является непосредственно субъект персональных данных, общедоступные источники;
23.2.если иное не установлено законодательством о защите персональных данных, Учреждение вправе получать персональные данные субъекта персональных данных от третьих лиц только об уведомлении субъекта, либо при наличии письменного согласия субъекта о предоставлении его персональных данных третьим лицам;
23.3.уведомление субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:
а) наименование Оператора и адрес его местонахождение;
б)цель обработки персональных данных и ее правовое основание;
в) предполагаемые пользователи персональных данных;
г) установленные законом права субъекта персональных данных;
д) источник получения персональных данных.
24.Хранение персональных данных:
24.1.При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
24.2.Документы, содержащие персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа. Перечень мест хранения документов определяется Учреждением.
24.3.Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Учреждением информационных систем и специально обозначенных Учреждением баз данных (внесистемное хранение персональных данных) не допускается.
24.4.Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных.
24.4.Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки, в случае утраты в необходимости достижения этих целей или по истечении сроков их хранения;
24.5.Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).
24.6.При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
25.Использование:
25.1.Персональные данные обрабатываются и используются для целей, указанных в п.9 Положения.
25.2.Доступ к персональным данным предоставляется только тем работникам Учреждения, должностные обязанности которых, предполагают работу с персональными данными, и только на период необходимый для работы с соответствующими данными. Перечень лиц определяется Учреждением.
25.3.В случае возникновения необходимости предоставить доступ к персональным данным работников, не входящих в перечень лиц доступа к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению заведующего Учреждения или иного лица, уполномоченного на это заведующим Учреждения. Соответствующие работники должны быть ознакомлены под подпись со всеми нормативными локальными актами Учреждения в области персональных данных, а также должны подписать обязательство не разглашения персональных данных.
25.4.Работники осуществляющие обработку персональных данных без использования средств автоматизации информируются (в том числе ознакомлением с настоящим Положением) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящим Положением.
25.5.Работникам Учреждения, не имеющим надлежащим образом оформленного доступа, доступ к персональным данным запрещается.
25.6.При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
25.7.Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменений либо путем изготовления нового материального носителя с уточненными персональными данными.
26.Передача данных.
26.1.Передача персональных данных субъектов третьим лицам допускается в минимальных необходимых объёмах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
26.2. Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.
26.3.При передаче персональных данных третьим лицам, субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законодательством, в частности если:
субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором, который получил от Учреждения соответствующие данные;
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
передача персональных данных Учреждения связана и является необходимой для исполнения этим субъектом персональных данных своих профессиональных обязанностей;
персональные данные обрабатываются для статистических или иных исследовательских целей.
26.4.Передача информации, содержащей персональные данные, должна осуществляться способом, обеспечивающим защиту от неправомерного доступа, уничтожения, изменения, блокировки, копирования, распространения, а также других неправомерных действий в отношении такой информации.
26.5.Трансграничная передача персональных данных
запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
26.6.Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут использоваться лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Учреждение вправе требовать от этих лиц подтверждения того, что это правило соблюдено.
26.7.В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
27.Поручение обработки.
27.1.Учреждение вправе поручить обработку данных уполномоченному лицу.
27.2.В договоре между Оператором и уполномоченным лицом, акте законодательства либо решении государственного органа должны быть определены:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
27.3.Уполномоченное лицо не обязано брать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласие субъекта персональных данных, такое согласие получает Оператор.
27.4.В случае если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.
28.Защита.
28.1.Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного доступа;
реализацию права на доступ к информации.
28.2.Для защиты персональных данных Учреждение принимает необходимые предусмотренные Законом меры (включая, но не ограничиваясь):
ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе использования паролей к электронным информационным ресурсам);
обеспечивает условия для хранения документов, содержащих персональные данные в ограниченном доступе;
организует порядок уничтожения информации, содержащие персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др);
проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
обеспечивает возможность восстановления персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
28.3.Для защиты персональных данных при их обработке в информационных системах Учреждение проводит необходимые, предусмотренные Законом мероприятия (включая, не не ограничиваясь):
определение угроз безопасности персональных данных при их обработке;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или уничтоженных в следствии несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
29. В Учреждении назначаются лица, ответственные за обработку персональных данных.
30.В Учреждении принимаются иные меры, направленные на обеспечение выполнения Учреждением обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
ГЛАВА 7
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
31.Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
32.Безопасность персональных данных, обрабатываемых Оператором, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.
33.Настоящее Положение вступает в силу со дня его утверждения.
34. Оператор имеет право изменять настоящее Положение в одностороннем порядке без предварительного согласия и последующего уведомления субъекта персональных данных.
35. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящем Положении, регулируются действующим законодательством.
раскрыть » / « свернуть