ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ГОСУДАРСТВЕННОМ УЧРЕЖДЕНИИ ОБРАЗОВАНИЯ «ОПСОВСКАЯ СРЕДНЯЯ ШКОЛА БРАСЛАВСКОГО РАЙОНА»
ГЛАВА 1.
ОБЩИЕ ПОЛОЖЕНИЯ
1. Политика обработки персональных данных в государственном учреждении образования «Опсовская средняя школа Браславского района» (далее - Политика) определяет основные вопросы, связанные с обработкой персональных данных в государственном учреждении образования «Опсовская средняя школа Браславского района» (далее - учреждение).
2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов в области персональных данных.
3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в учреждении вопросы обработки персональных данных.
4. Для целей Политики используются термины и определения, применяемые в Законе Республики Беларусь от 7 мая 2021 г. № 99-З «О
защите персональных данных», Законе Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации», а также следующий термин:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
5. Политика вступает в силу с момента ее утверждения, действует в отношении всех персональных данных, обрабатываемых учреждением, распространяется на все действия, совершаемые учреждением с персональными данными, на отношения в области обработки персональных данных, возникшие в учреждении после утверждения Политики.
ГЛАВА 2.
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
6. Учреждение, являясь оператором персональных данных, осуществляет обработку персональных данных, с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных
лиц;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер.
Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
7. Персональные данные обрабатываются в учреждении в целях:
осуществления функций и полномочий, возложенных действующим законодательством на учреждение;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
регулирования трудовых отношений с работниками учреждения;
ведения кадрового делопроизводства;
обеспечения безопасности, сохранения материальных ценностей и предотвращения правонарушений;
предоставления субъектам персональных данных информации о деятельности учреждения;
рассмотрения обращений, предложений, запросов через различные каналы коммуникаций, телефонные звонки, предоставления ответов или решений по запросам;
обеспечения пропускного режима;
формирования справочных материалов для внутреннего информационного обеспечения деятельности учреждения;
в иных целях, не противоречащих законодательству Республики Беларусь.
При изменении целей обработки персональных данных учреждение получает у субъекта персональных данных согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями.
ГЛАВА 3.
КАТЕГОРИИ СУБЪЕКТОВ И ПЕРСОНАЛЬНЫЕ
ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ В УЧРЕЖДЕНИИ
8. Категории субъектов персональных данных, обрабатываемые в учреждении:
персональные данные работников и обучающихся;
других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в главе 2 Политики).
9. Перечень персональных данных, обрабатываемых в учреждении, определяется в соответствии с законодательством и локальными правовыми актами учреждения с учетом целей обработки персональных данных, указанных в главе 2 Политики.
ГЛАВА 4.
ФУНКЦИИ УЧРЕЖДЕНИЯ ПРИ ОСУЩЕСТВЛЕНИИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10. Учреждение при осуществлении обработки персональных данных:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства и локальных правовых актов
учреждения в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику и иные вопросы обработки и защиты персональных данных в учреждении;
при приеме на работу в учреждение, а также при изменении регулирующего вопросы защиты персональных данных законодательства обеспечивает ознакомление работников,
осуществляющих обработку персональных данных, с положениями законодательства и локальных правовых актов учреждения в области персональных данных, в том числе требованиями к защите персональных данных;
организует с необходимой периодичностью соответствующее обучение для работников, осуществляющих обработку персональных данных, и включающее, в том числе, вопросы обязанностей работников по обработке персональных данных, их ответственности за защиту персональных данных;
публикует настоящую Политику на официальном сайте учреждения в глобальной компьютерной сети Интернет (http://opsa.braslav.edu.by/), а также путем предоставления названной информации по запросам заинтересованных пользователей;
сообщает в установленном настоящей Политикой порядке субъектам персональных данных или их представителям информацию о наличии в учреждении персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при личном обращении в учреждение указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;
прекращает обработку и уничтожает (обезличивает) персональные данные в случаях, предусмотренных законодательством в области персональных данных;
выполняет иные функции, предусмотренные законодательством в области защиты персональных данных.
11. Обработка персональных данных в учреждении осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области защиты персональных данных.
12.Учреждение без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
13. Учреждение вправе поручить обработку персональных данных от имени учреждения или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора с учетом требований законодательства о защите персональных данных.
14. Обработка персональных данных в учреждении осуществляется следующими способами:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (реестры, списки, базы данных, журналы и др.).
ГЛАВА 5.
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В УЧРЕЖДЕНИИ
15. Персональные данные в учреждении обрабатываются с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
16. При запросе согласия учреждение в понятной и легкодоступной форме информирует субъектов персональных данных о своих идентификационных данных, о данных уполномоченных лиц (при их наличии), характере и цели обработки, перечне обрабатываемых персональных данных, а также объясняет права физических лиц в отношении их персональных данных, в том числе, право на отзыв согласия.
17. Учреждение без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
18. Учреждение, как оператор, вправе поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу на основании заключенного договора.
19. Договор, указанный в п.18 настоящей Политики, должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению защиты персональных данных;
меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
20. Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению учреждения необходимо получение согласия субъекта персональных данных, условия получения такого согласия определяются договором оператора и уполномоченного лица.
21. В целях внутреннего информационного обеспечения учреждение может создавать внутренние справочные материалы (базы данных) с размещением информации в локальной сети учреждения или без размещения, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год, месяц, дата рождения, адрес, номер телефона, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
ГЛАВА 6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
22. Субъект персональных данных имеет право на:
отзыв согласия на обработку персональных данных;
получение информации, касающейся обработки персональных данных;
требование внесения изменений в свои персональные данные, если персональные данные являются неполными, устаревшими или неточными;
требование прекращения обработки своих персональных данных и (или) их удаления;
обжалование действий (бездействия) и решений учреждения, связанных с обработкой персональных данных.
23. Для реализации своих прав субъект персональных данных имеет право лично обратиться с заявлением в письменной форме с предъявлением оригинала документа удостоверяющего личность и иных документов, подтверждающих полномочия заявителя, если запрашиваются данные в отношении иного субъекта персональных данных, в райисполком по адресу, указанному на официальном сайте
учреждения в глобальной компьютерной сети Интернет(http://opsa.braslav.edu.by/
ГЛАВА 7.
МЕРЫ, ПРИНИМАЕМЫЕ УЧРЕЖДЕНИЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ИСПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
24. Меры, необходимые и достаточные для обеспечения исполнения учреждением обязанностей оператора, предусмотренных законодательством в области персональных данных, включают:
предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в учреждении;
издание документов, определяющих политику учреждения в отношении обработки персональных данных;
ознакомление работников, непосредственно обрабатывающих персональные данные в учреждении, с положениями законодательства
о персональных данных, и их обучение;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационных системах (ресурсах);
осуществление технической и криптографической защиты персональных данных в учреждении в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов
(систем), содержащих персональные данные;
обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику в отношении обработки персональных данных, до начала такой обработки;
прекращение обработки персональных данных при отсутствии оснований для их обработки;
незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;
ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
хранение персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
ГЛАВА 8
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ УЧРЕЖДЕНИЯ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
25. Контроль за соблюдением учреждением законодательства Республики Беларусь и локальных правовых актов учреждения в области персональных данных осуществляется с целью предотвращения и выявления нарушений, возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
26. В учреждении осуществляется внутренний контроль за соблюдением в учреждении законодательства Республики Беларусь и локальных правовых актов учреждения в области защиты персональных данных, в том числе требований к защите персональных данных.
27. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов учреждения в области персональных данных, за обеспечение конфиденциальности и безопасности персональных данных возлагается на ответственных за обработку лиц.