РУС БЕЛ ENG

Работа с персональными данными

Закон Республики Беларусь от 7 мая 2021 г. № 99-3 "О защите персональных данных"

Политика в отношении обработки персональных данных

 

                                                                                                                     УТВЕРЖДЕНО:
                                                                                                                     приказ заведующего 
                                                                                                                     ГУО «Детский сад №12"Улыбка"
                                                                                                                     г. Осиповичи"
                                                                                                                     от 20.12.2021 № 93 

ПОЛИТИКА

в отношении обработки, доступа и защиты персональных данных

ГУО «Детский сад №12 "Улыбка" г. Осиповичи»

Настоящая Политика разработана в целях обеспечения защиты персональных данных работников и воспитанников (а также их законных представителей)  государственного учреждения образования «Детский сад №12 "Улыбка" г. Осиповичи» (далее – Учреждение) на основании Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и является неотъемлемой частью приказа от 14.01.2022 №6/1.

1. Общие положения

1.1. Настоящая Политика обработки и защиты персональных данных (далее – Политика) определяет цели сбора, правовые основания, условия и способы обработки персональных данных, права и обязанности оператора, субъектов персональных данных, объем и категории обрабатываемых персональных данных и меры их защиты.

1.2. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Учреждении, разрабатываются с учетом положений Политики.

1.3. Действие Политики распространяется на персональные данные, которые учреждение обрабатывает с использованием и без использования средств автоматизации.

1.4. В Политике используются следующие понятия:

биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое); блокирование персональных данных – прекращение доступа к персональным данным без их удаления;

генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;

персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;

удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;

физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

1.5.Учреждение – оператор персональных данных – обязано:

1.5.1. Соблюдать конфиденциальность персональных данных, а именно не распространять персональные данные и не передавать их третьим лицам без согласия субъекта персональных данных или его законного представителя, если иное не предусмотрено законодательством.

1.5.2. Обеспечить субъектам персональных данных, их законным представителям возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законодательством.

1.5.3. Разъяснять субъектам персональных данных, их законным представителям юридические последствия отказа предоставить персональные данные.

1.5.4. Блокировать или удалять неправомерно обрабатываемые, неточные персональные данные либо обеспечить их блокирование или удаление.

1.5.5. Прекратить обработку и уничтожить персональные данные либо обеспечить прекращение обработки и уничтожение персональных данных при достижении цели их обработки.

1.5.6. Прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или иным соглашением между гимназией и субъектом персональных данных.

1.6. Учреждение  вправе:

1.6.1. Использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством.

1.6.2. Предоставлять персональные данные субъектов персональных данных третьим лицам в случаях, предусмотренных законодательством.

1.7. Работники, законные представители воспитанников, иные субъекты персональных данных обязаны:

1.7.1. В случаях, предусмотренных законодательством, предоставлять Учреждению достоверные персональные данные.

1.7.2. При изменении персональных данных, обнаружении ошибок или неточностей в них незамедлительно сообщать об этом Учреждению.

1.8. Субъекты персональных данных вправе:

1.8.1. Получать информацию, касающуюся обработки своих персональных данных.

1.8.2. Требовать от Учреждения уточнить персональные данные, блокировать их или уничтожить, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

1.8.3. Дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения.

1.8.4. Обжаловать действия или бездействие Учреждения в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

2. Цели сбора персональных данных

2.1. Целями сбора персональных данных Учреждения являются:

2.1.1. Организация образовательной деятельности по учебной программе дошкольного образования в соответствии с законодательством и уставом Учреждения.

2.1.2. Регулирование трудовых отношений с работниками Учреждения.

2.1.3. Реализации        гражданско-правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.

2.1.4. Обеспечение безопасности.

3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

3.1. Учреждение обрабатывает персональные данные:

 – работников, в том числе бывших;

– кандидатов на замещение вакантных должностей;

 – родственников работников, в том числе бывших;

 – воспитанников;

 – родителей (законных представителей) воспитанников;

 – физических лиц по гражданско-правовым договорам;

 – физических лиц, указанных в заявлениях (согласиях, доверенностях) воспитанников и родителей (законных представителей) воспитанников;

 – физических лиц – посетителей Учреждения.

- лиц, предоставивших Учреждению персональные данные при отправке обращений, путем заполнения анкет, в ходе проводимых Учреждением мероприятий;

3.2. Специальные категории персональных данных (о: членстве в профсоюзах, партиях и иных организациях, состоянии здоровья, привлечение к административной или уголовной ответственности, биометрических данных) Учреждение обрабатывает, только на основании и согласно требованиям законодательства.

3.3. Учреждение обрабатывает персональные данные в объеме, необходимом: – для осуществления образовательной деятельности по реализации учебной программы дошкольного образования, обеспечения безопасности, укрепления здоровья воспитанников, создания благоприятных условий для разностороннего развития личности, в том числе обеспечения отдыха и оздоровления воспитанников; – выполнения функций и полномочий работодателя в трудовых отношениях; – выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учета; – исполнения сделок и договоров гражданско-правового характера, в которых Учреждение является стороной, получателем (выгодоприобретателем).

3.4. Содержание и объем обрабатываемых персональных данных в Учреждении соответствуют заявленным целям обработки.

4. Порядок и условия обработки персональных данных

4.1. Учреждение осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

4.2. Получение персональных данных:

4.2.1. Все персональные данные Учреждение получает от родителей воспитанников (их законных представителей).

4.3. Обработка персональных данных:

4.3.1. Учреждение обрабатывает персональные данные в следующих случаях: – субъект персональных данных дал согласие на обработку своих персональных данных; – обработка персональных данных необходима для выполнения Учреждением  возложенных на него законодательством функций, полномочий и обязанностей; – персональные данные являются общедоступными.

4.3.2. Учреждение обрабатывает персональные данные: – без использования средств автоматизации; – с использованием средств автоматизации в программах и информационных системах: ПТК «ПараГраф», БД Кадры ИРО, БД «Документы об образовании», а также посредством сети интернет: сайт учреждения образования, сайт School.by, страница в vkontakte, в instagramm. В мессенджере viber.

4.3.3.Учреждение обрабатывает персональные данные в сроки: – необходимые для достижения целей обработки персональных данных; – определенные законодательством для обработки отдельных видов персональных данных; – указанные в согласии субъекта персональных данных.

4.4. Хранение персональных данных:

4.4.1. Учреждение хранит персональные данные в течение срока, необходимого для достижения целей их обработки, а документы, содержащие персональные данные, – в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.

4.4.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен.

4.4.3. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.

4.4.4. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.

4.5. Прекращение обработки персональных данных:

4.5.1. Лица, ответственные за обработку персональных данных в Учреждении, прекращают их обрабатывать в следующих случаях: – достигнуты цели обработки персональных данных; – истек срок действия согласия на обработку персональных данных; – отозвано согласие на обработку персональных данных; – обработка персональных данных неправомерна.

4.6. Передача персональных данных:

4.6.1. Учреждение обеспечивает конфиденциальность персональных данных.

4.6.2. Учреждение передает персональные данные третьим лицам в следующих случаях: – субъект персональных данных дал согласие на передачу своих данных; – передать данные необходимо в соответствии с требованиями законодательства в рамках установленной процедуры.

4.6.3. Учреждение не осуществляет трансграничную передачу персональных данных.

4.7. Учреждение принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе: – издает локальные нормативные акты, регламентирующие обработку персональных данных; – назначает ответственного за организацию обработки персональных данных; – определяет список лиц, допущенных к обработке персональных данных; – знакомит работников, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных.

5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных

5.1. В случае предоставления субъектом персональных данных, его законным представителем фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Учреждение актуализирует, исправляет, блокирует, удаляет или уничтожает их и уведомляет о своих действиях субъекта персональных данных.

5.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной, получателем (выгодоприобретателем) по которому является субъект персональных данных.

5.3. Решение об уничтожении документов (носителей) с персональными данными принимает комиссия, состав которой утверждается приказом заведующего Учреждения.

5.4. Документы (носители), содержащие персональные данные, уничтожаются по акту о выделении документов к уничтожению. Факт уничтожения персональных данных подтверждается актом об уничтожении документов (носителей), подписанным членами комиссии.

5.5. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения. Для уничтожения бумажных документов может быть использован шредер.

5.6. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

5.7. По запросу субъекта персональных данных или его законного представителя Учреждение сообщает ему информацию об обработке его персональных данных.

 

 

Политика в отношении обработки персональных данных

свернуть

Согласие на обработку персональных данных

 

СОГЛАСИЕ

на обработку специальных персональных данных

Я,_____________________________                      (Ф.И.О.), ___________________________ года

рождения, идентификационный номер (из паспорта) _________________________________  (при его

наличии), даю согласие ГУО «Детский сад № 12 «Улыбка»г.Осиповичи»», находящегося по адресу: 213765, Могилёвская область, г.Осиповичи, ул.Крыловича, 6, на обработку следующих моих персональных данных:

сведений о состоянии здоровья, лечении, диагнозах, биометрических данных, сведений о привлечении к административной ответственности и иных сведений, характеристик, адрес проживания и место регистрации, паспортные данные и страховое свидетельство (если такое имеется), трудовую книжку, расчетный счет АСБ «Беларусбанк»; иные документы (документы для получения единовременного социального пособия, использование фотографий для интернет-ресурса)

Цель обработки: ведение личного дела, трудовых книжек, заполнение отчетов, заключение трудовых договоров (контрактов), предоставление данных (отчетов) в ФСЗН и другие организации, перечисление заработной платы/ взаимодействие с обучающимися (законными представителями несовершеннолетнего обучающегося), заключение и использование договоров на оказание платных услуг в сфере образования, организация образовательного процесса, организация пропускного режима.

В указанной цели я даю согласие на осуществление следующих действий с моими персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, обезличивание, блокирование, удаление, уничтожение.

Обработка моих персональных данных может осуществляться как автоматизированным, так и неавтоматизированным способом.

Мне разъяснены права, связанные с обработкой моих персональных данных, механизм реализации таких прав, а также последствия дачи мною согласия или отказа в даче такого согласия.

Я ознакомлен(а) с тем, что:

согласие на обработку персональных данных действует с даты его подписания до достижения целей обработки персональных данных;

согласие на обработку персональных данных может быть отозвано путем подачи письменного заявления.

 

 ____________________                 ________________                                    _________________

                     (дата)                                     (подпись)                                   (расшифровка подписи

    

свернуть

Права субъекта персональных данных

ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 10. Право на отзыв согласия субъекта персональных данных

  1. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, установленном статьей 14 настоящего Закона, либо в форме, посредством которой получено его согласие.
  2. Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных   данных,    если    отсутствуют    иные    основания    для таких    действий с персональными данными, предусмотренные настоящим Законом и иными законодательными актами.

При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

  1. Окончание срока действия договора, в соответствии с которым осуществлялась обработка персональных данных, или его расторжение влекут последствия, указанные в пункте 2 настоящей статьи, если иное не предусмотрено этим договором или актами законодательства.
  2. Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения в соответствии с частью первой пункта 2 настоящей статьи не является незаконной.

Печатные издания, аудио- либо видеозаписи программ, радио-, телепрограммы, кинохроникальные программы, иная информационная продукция, содержащие персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат изъятию из гражданского оборота.

Статья 11. Право на получение информации, касающейся обработки персональных данных, и изменение персональных данных

  1. Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;

подтверждение       факта       обработки       персональных       данных       оператором (уполномоченным лицом);

его персональные данные и источник их получения; правовые основания и цели обработки персональных данных; срок, на который дано его согласие;

наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;

иную информацию, предусмотренную законодательством.

Для получения информации, указанной в части первой настоящего пункта, субъект персональных данных подает оператору заявление в соответствии со статьей 14 настоящего Закона. При этом субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации.

  1. Оператор обязан в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, указанную в части первой пункта 1 настоящей статьи, либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.
  2. Информация,     указанная     в части     первой     пункта 1     настоящей     статьи, не предоставляется:

- если персональные данные могут быть получены любым лицом посредством направления запроса   в порядке,   установленном   законодательством,   либо   доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;

- если обработка персональных данных осуществляется:

- в соответствии с законодательством о государственной статистике;

- в   соответствии    с законодательством    в области    национальной    безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь;

- в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным  законодательством  об административных правонарушениях,   уголовно-процессуальным, уголовно-исполнительным законодательством;

- по вопросам ведения криминалистических учетов;

- в иных случаях, предусмотренных законодательными актами.

  1. Субъект персональных данных вправе требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает оператору   заявление    в порядке,    установленном    статьей 14    настоящего    Закона, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.

Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

Статья 12. Право на получение информации о предоставлении персональных данных третьим лицам

  1. Субъект   персональных   данных   вправе   получать   от оператора   информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено настоящим Законом и иными законодательными актами.

Для получения информации, указанной в части первой настоящего пункта, субъект персональных данных подает заявление оператору в порядке, установленном статьей 14 настоящего Закона.

  1. Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении.
  2. Информация, указанная в настоящей статье, может не предоставляться в случаях, предусмотренных пунктом 3 статьи 11 настоящего Закона, а также если обработка персональных       данных       осуществляется       в соответствии       с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции.

Статья 13. Право требовать прекращения обработки персональных данных и (или) их удаления

  1. Субъект персональных данных вправе требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами.

Для реализации указанного права субъект персональных данных подает оператору заявление в порядке, установленном статьей 14 настоящего Закона.

  1. Оператор в случае,   предусмотренном   пунктом 1   настоящей   статьи,   обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных.

При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

  1. Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.

Статья 14. Порядок подачи заявления субъектом персональных данных оператору

  1. Субъект персональных данных для реализации прав,   предусмотренных статьями 10–13 настоящего Закона, подает оператору заявление в письменной форме либо в виде электронного документа. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.
  2. Заявление субъекта персональных данных должно содержать:

- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

- дату рождения субъекта персональных данных;

- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

- изложение сути требований субъекта персональных данных;

- личную подпись либо электронную цифровую подпись субъекта персональных данных.

  1. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

Статья 15. Право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных

  1. Субъект персональных   данных   вправе   обжаловать   действия   (бездействие) и решения оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
  2. Принятое уполномоченным органом по защите прав субъектов персональных данных   решение   может   быть   обжаловано   субъектом   персональных   данных   в суд в порядке, установленном законодательством.
свернуть