УТВЕРЖДЕНО
Приказ директора
ГУО «Молчадская средняя
школа Барановичского района»
25.10.2022 № 97
ПОЛОЖЕНИЕ
о политике в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение о политике в отношении обработки персональных данных (далее – Положение) в Государственном учреждении образования «Молчадская средняя школа Барановичского района» (далее -- школа) определяет политику в отношении получения, обработки, хранения и передачи персональных данных и разработано на основании Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон), иных нормативных правовых актов Республики Беларусь.
1.2. Положение разработано в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Политика вступает в силу с момента ее утверждения, действует в отношении всех персональных данных, обрабатываемых в школе с использованием и без использования средств автоматизации, распространяется на все действия, совершаемые в школе с персональными данными, на отношения в области обработки персональных данных, возникшие как до, так и после утверждения Положения.
1.4. Во исполнение требований п. 4 ст. 17 Закона Положение публикуется в свободном доступе на официальном сайте школы в сети интернет.
1.5. Основные понятия:
1.5.1. персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
1.5.2. оператор персональных данных – ГУО «Молчадская средняя школа Барановичского района», юридическое лицо, самостоятельно или совместно с другими лицами организующее или осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными.
1.5.3.субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
1.5.4.обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
1.5.5.автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.5.6.предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
1.5.7.распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
1.5.8.блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
1.5.9.удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
1.5.10. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.5.11. специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
1.5.12. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.6. Оператор имеет право:
1.6.1.самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
1.6.2.поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом;
1.6.3.в случае отзыва субъекта персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе.
1.7. Оператор обязан:
1.7.1.организовывать обработку персональных данных в соответствии требованиями Закона;
1.7.2.отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
1.7.3.сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях;
1.7.4.исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
1.8. Субъекты персональных данных имеют право:
1.8.1.на отзыв согласия субъекта персональных данных;
1.8.2.на получение информации, касающейся обработки персональных данных, и изменение персональных данных;
1.8.3.на получение информации о предоставлении персональных данных третьим лицам;
1.8.4.требовать прекращения обработки персональных данных и (или) их удаления;
1.8.5.на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
1.9. Субъект персональных данных несет ответственность за точность, достоверность и актуальность предоставляемых персональных данных в соответствии с законодательством Республики Беларусь. Оператор имеет право осуществлять проверку точности, достоверности и актуальности предоставляемых персональных данных в случаях, объеме и порядке, предусмотренных законодательством.
1.10. Контроль за исполнением требований Положения осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в школе.
1.11. Ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.
ГЛАВА 2
ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработка оператором персональных данных осуществляется в следующих целях:
2.2.1.осуществление деятельности в соответствии с уставом оператора;
2.2.2. формирование базы данных учащихся и сотрудников;
2.2.3. организация образовательного процесса, предоставление доступа к образовательным ресурсам;
2.2.4. сбора информации через формы обратной связи, сбора статистической информации, администрирования сайта оператора, предоставления доступа к сервисам, информации и/или материалам, содержащимся на сайте;
2.2.5.организации пропускного режима;
2.2.6. рассмотрения обращений граждан и юридических лиц;
2.2.7. обеспечение соблюдения законодательства Республики Беларусь;
2.2.8. ведение кадрового делопроизводства;
2.2.9. реализация законодательства о борьбе с коррупцией;
2.2.10. содействие работникам в трудоустройстве, получении образования, обеспечение личной безопасности работников, обеспечение сохранности имущества;
2.2.11. привлечение и отбор кандидат на работу;
2.2.12. организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
2.2.13. заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
2.2.14. осуществление гражданско-правовых отношений;
2.2.15. осуществление административных процедур.
2.3. Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т. д. – оператор обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по законодательству и локальным правовым актам школы.
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор обрабатывает персональные данные работников в соответствии с:
3.1.1.нормативными правовыми актами, регулирующими отношения, связанные с деятельностью школы;
3.1.2.Уставом школы;
3.1.3. договорами, заключаемыми между школой и субъектами персональных данных;
3.1.4. согласиями на обработку персональных данных;
3.1.5. настоящим Положением.
ГЛАВА 4
ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Школа может обрабатывать персональные данные следующих категорий субъектов персональных данных:
4.1.1. работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников:
фамилия, собственное имя, отчество, пол, возраст, дата рождения;
паспортные данные (данные идентификационной карты) или иного документа, удостоверяющего личность физического лица;
семейное положение;
образование, специальность, квалификация, трудовой стаж, опыт работы;
повышение квалификации, профессиональная подготовка, переподготовка, аттестация;
занимаемая должность служащего или выполняемая работа по профессии рабочего;
сведения о воинском учете;
социальные гарантии и льготы и основания для них;
состояние здоровья работника, результаты медицинского осмотра, психиатрического освидетельствования, сведения об инвалидности;
адрес места жительства, номер телефона;
реквизиты банковского карт-счета;
сведения о привлечении к административной, уголовной ответственности и нарушении антикоррупционного законодательства;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;
4.1.2. членов семей работников:
наличие детей и иждивенцев;
состояние здоровья членов семьи;
необходимость ухода за больным членом семьи;
усыновление и удочерение;
иные факты, на основании которых работникам по законодательству и локальным правовым актам школы должны быть предоставлены гарантии и компенсации.
4.1.3. клиентов и контрагентов – физических лиц:
фамилия, имя, отчество;
паспортные данные;
адрес регистрации по месту жительства;
контактные данные;
учетный номер плательщика;
номер расчетного счета;
иные персональные данные, предоставляемые для заключения и исполнения договоров;
4.1.4.представителей или работников, клиентов и контрагентов – юридических лиц:
фамилия, имя, отчество;
паспортные данные;
контактные данные;
занимаемая должность;
иные персональные данные, предоставляемые для заключения и исполнения договоров;
4.1.5. иных субъектов персональных данных (учащихся и их законных представителей):
фамилия, имя, отчество;
пол;
дата и место рождения;
данные о родителях, опекунах, попечителях;
сведения о принадлежности к категориям «многодетный родитель», «одинокий родитель», «родитель-инвалид», «родитель ребенка-инвалида» и т.п.;
контактные данные (мобильный, домашний номера телефонов, электронная почта);
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
иные персональные данные, необходимые для осуществления образовательного процесса.
4.2. Обработка биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.
4.3. Школа не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных в школе осуществляется в соответствии с требованиями законодательства Республики Беларусь.
5.2. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
5.3. Доступ к персональным данным в школе имеют только те лица, кому это необходимо для исполнения должностных (трудовых) обязанностей. Работники, получающие доступ к персональным данным, определяются приказом директора школы.
5.4. Права, обязанности и ответственность работников, обрабатывающих персональные данные, закрепляются в их должностных (рабочих) инструкциях.
За нарушение правил обработки персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения по пункту 10 части первой статьи 47 Трудового кодекса Республики Беларусь.
5.5. В случаях, предусмотренных законодательством, в частности предусмотренных статьями 6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», школа обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях субъекту персональных данных предлагается оформить согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
5.6. Оператор хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
При достижении целей обработки персональные данные уничтожаются. Исключения:
персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
кандидат на работу желает остаться в кадровом резерве.
5.7. Оператор передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством.
5.8. Передача персональных данных в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.
5.9. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.
5.10. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлены законодательством Республики Беларусь, договором.
ГЛАВА 6
АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Школа сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя знакомит его с этими персональными данными в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами.
6.2. Школа при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу субъектов персональных данных блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
6.3. На основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов оператор уточняет персональные данные в течение 15 дней со дня представления таких сведений.
6.4. В случае выявления неправомерной обработки персональных данных оператор в срок, не превышающий 15 дней, прекращает неправомерную обработку персональных данных.
6.5. В случае достижения цели обработки персональных данных оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 15 дней с даты достижения цели обработки персональных данных.
6.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор прекращает их обработку в срок, не превышающий 15 дней с даты поступления отзыва.