Закон Республики Беларусь от 7 мая 2021 г. № 99-3 “О защите персональных данных”: Перейти
Закон Республики Беларусь 10 ноября 2008 г. № 455-З Об информации, информатизации и защите информации: Перейти
УТВЕРЖДАЮ
Заведующий государственным
учреждением образования
«Горской детский сад Горецкого района»
_______________О.И.Понамарева
ПОЛОЖЕНИЕ
о политике государственного учреждения образования ««Горской детский сад Горецкого района»» в отношении обработки персональных данных
ГЛАВА 1.
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований Закона Республики Беларусь от 7 мая 2021 г. № 99-3 «О защите персональных данных» (далее – Закон о защите персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
1.2. Лицом, которое будет осуществлять обработку персональных данных, является государственное учреждение образования ««Горской детский сад Горецкого района», юридический и почтовый адрес: Республика Беларусь, 213561, Могилёвская область, Горецкий район , агрогородок Горы, ул. Мстиславская,3
1.3. Политика вступает в силу с 01 января 2023 г. и действует в отношении всех персональных данных, которые обрабатывает государственное учреждение образования «Горской детский сад Горецкого района»» (далее – Оператор).
1.4. Во исполнение требований п.4 ст.17 Закона о персональных данных Политика публикуется в свободном доступе в информационно- телекоммуникационной сети Интернета на официальном сайте Оператора.
1.5. Политика является внутренним документом Оператора. Оператор вправе по необходимости в одностороннем порядке вносить в Политику соответствующие изменения с последующим размещением новой Политики на сайте. Субъекты самостоятельно получают на сайте информацию об изменениях Политики.
1.6.В настоящей Политике определены следующие термины, определения и сокращения: персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
оператор – юридическое лицо, иная организация, самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, предоставление, удаление персональных данных;
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц; распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Целью Политики является обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.
2.2. Политика действует в отношении всех категорий, обрабатываемых персональных данных (включая биометрические и специальные персональные данные):
в информационных (электронных) ресурсах (системах) детского сада, в том числе единой электронной системе учета нотариальных действий и наследственных дел;
работников детского сада;
при исполнении договоров;
при рассмотрении обращений;
иных обрабатываемых данных.
2.3. Детский сад осуществляет обработку персональных данных в соответствии с законодательством, Уставом и Политикой в целях исполнения возложенных на детский сад задач и функций, осуществления полномочий.
2.4. Действие положения распространяется на процессы, связанные с защитой персональных данных, происходящие при их обработке, осуществляемой:
с использованием средств автоматизации;
без использования средств автоматизации, в случаях, когда поиск персональных данных и (или) доступ к ним обеспечиваются по определенным критериям (картотеки, списки, базы данных, журналы и другое).
2.5. Детский сад обеспечивает неограниченный доступ к Политике, в том числе с использованием глобальной компьютерной сети Интернет, посредством ее размещения на официальном сайте детского сада в глобальной компьютерной сети Интернет по адресу — https://sad2krasby.by.
Политика предназначена для ознакомления с ней неограниченного круга лиц.
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми детский сад осуществляет обработку персональных данных, в том числе:
Конституция Республики Беларусь;
Гражданский кодекс Республики Беларусь;
Трудовой кодекс Республики Беларусь;
Налоговый кодекс Республики Беларусь;
Закон о защите персональных данных;
иные нормативные правовые акты, регулирующие отношения, в сфере законодательства о персональных данных.
3.2.Правовым основанием обработки персональных данных также являются:
устав детского сада;
договоры, заключаемые между детским садом и субъектами персональных данных;
согласие субъектов персональных данных на обработку их персональных данных.
ГЛАВА 4
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.Детский сад осуществляет обработку персональных данных в соответствии с требованиями законодательства в целях, указанных в Политике.
4.2.Персональные данные хранятся:
на бумажных носителях;
в электронном виде.
4.3.Обработка персональных данных осуществляется детским садом с согласия субъекта персональных данных в случаях, установленных статьей 5 Закона о защите персональных данных, и без получения согласия в случаях, установленных статьей 6 Закона о защите персональных данных.
4.4.Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие.
4.5.При отсутствии технической возможности удаления персональных данных детский сад обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных.
4.6.Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения (в соответствии с поданным заявлением об отзыве согласия) не является незаконной.
4.7.Печатные издания, аудио- либо видеозаписи программ, радио-, телепрограммы, кинохроникальные программы, иная информационная продукция, содержащие персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат изъятию из гражданского оборота.
4.8.Предоставление персональных данных осуществляется детским садом в случаях, установленных законодательством.
4.9.Распространение персональных данных осуществляется детским садом в случаях, установленных законодательством.
4.10. Обрабатываемые персональные данные подлежат удалению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4.11. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
ГЛАВА 5
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.Субъекты персональных данных имеют право:
на отзыв согласия на обработку своих персональных данных;
на получение информации, касающейся обработки своих персональных данных;
требовать от детского сада внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
на получение информации о предоставлении своих персональных данных третьим лицам;
требовать прекращения обработки своих персональных данных;
требовать удаления своих персональных данных;
обжаловать действия (бездействие) и решения детским садом, связанные с обработкой своих персональных данных;
осуществлять иные права, предусмотренные законодательством.
5.2.Субъект персональных данных для реализации перечисленных в пункте 17 Политики прав подает заявление в письменной форме либо в виде электронного документа в детский сад порядке, установленном статьей 14 Закона о защите персональных данных. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.
5.3.Заявление субъекта персональных данных должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера — номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия детскому саду или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
5.4.Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
5.5.Детский сад обязан в пятнадцатидневный срок после получения заявления об отзыве согласия на обработку персональных данных субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о защите персональных данных и иными законодательными актами.
5.6.Детский сад обязан в течение пяти рабочих дней после получения заявления о получении информации, касающейся обработки персональных данных, субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, указанную в части первой пункта 1 статьи 11 Закона о защите персональных данных, либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.
5.7.Детский сад обязан в пятнадцатидневный срок после получения заявления о внесении изменений в персональные данные субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.
5.8.Детский сад обязан в пятнадцатидневный срок после получения заявления о получении информации о предоставлении персональных данных третьим лицам субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении.
ГЛАВА 6
ОБЯЗАННОСТИ ОПЕРАТОРА
6.1.Детский сад, помимо обязанностей, закрепленных в Главе 5 Политики, обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
полнять иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.
ГЛАВА 7
ОБЖАЛОВАНИЕ ДЕЙСТВИЙ (БЕЗДЕЙСТВИЯ) И РЕШЕНИЙ ДЕТСКИМ САДОМ, СВЯЗАННЫХ С ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.Субъект персональных данных вправе обжаловать действия (бездействие) и решения детского сада, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
7.2.Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.
ГЛАВА 8
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
8.2.Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется уполномоченным органом по защите прав субъектов персональных данных.
ГЛАВА 9
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Детский сад при обработке персональных данных руководствуется законодательством и принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2.Детский сад принимает меры, необходимые и достаточные для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона о защите персональных данных и иных актов законодательства, в том числе обязательные меры в соответствии с пунктом 3 статьи 17 Закона о защите персональных данных, в частности: осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
9.3. Детский сад осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором.
ГЛАВА 10
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Иные права и обязанности Оператора как оператора персональных данных определяются законодательством Республики Беларусь в области персональных данных. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско- правовую или уголовную ответственность в порядке, установленном законодательством Республики Беларусь. Порядок и сроки дальнейших действий на запросы и заявления Субъектов определяются Законом Республики Беларусь «О защите персональных данных».
УТВЕРЖДАЮ
Заведующий государственным учреждением образования
«Горской детский сад Горецкого района»
_______________О.И.Понамарева
Положение о политике
обработки персональных данных при использовании интернет-сайта
https://sad-gory.schools.by/
Закон Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных»
Политика конфиденциальности персональных данных пользователей
при использовании интернет-сайта https://sad-gory.schools.by/
Настоящая Политика конфиденциальности персональных данных Пользователей при использовании Интернет-сайта https://sad-gory.schools.by/ (далее – Политика конфиденциальности) действует в отношении всей информации, которую ГУО «Горской детский сад Горецкого района», расположенный на доменном имени https://sad-gory.schools.by/, может получить о Пользователе во время использования Интернет-сайта https://sad-gory.schools.by/
Определение терминов
В настоящей Политике конфиденциальности используются следующие термины:
«Администрация сайта/мобильного приложения» ГУО «Горской детский сад Горецкого района» (далее – Администрация сайта сада) – уполномоченные сотрудники на управления сайтом/мобильным приложением, действующие от имени ГУО «Горской детский сад Горецкого района», которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Контактные данные ГУО «Горской детский сад Горецкого района», юридический адрес – 213424 Могилевская область, Горецкий район, аг. Горы, ул. Мстиславская, 3. Телефон: 80223343723
«Персональные данные» - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
«Обработка персональных данных» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
«Конфиденциальность персональных данных» - обязательное для соблюдения сотрудниками ГУО «Горской детский сад Горецкого района» (в том числе Администрацией сайта) или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличие иного законного основания.
«Пользователь Интернет-сайта https://sad-gory.schools.by, (далее - Пользователь)» – лицо, имеющее доступ к Интернет-сайту посредством сети Интернет и использующее Интернет-сайт детского сада для собственных нужд.
«Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего Интернет - сайта.
«IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
«Интернет-сайт детского сада (далее – Сайт)» – Интернет-ресурс, расположенный на доменном имени https://sad-gory.schools.by, и принадлежащий ГУО «Горской детский сад Горецкого района» на законных основаниях, для целей получения информации о ходе образовательного процесса в учреждениях образования, подключенных к системе электронных дневников Schools.by, и иных данных (сведений) в области образования Республики Беларусь.
Общие положения
Использование Пользователем Сайта, означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование Сайта.
Настоящая Политика конфиденциальности применяется к Сайту, Мобильному приложению: ГУО «Горской детский сад Горецкого района» не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте, в Мобильном приложении.
Администрация сайта детского сада не проверяет достоверность персональных данных, предоставляемых Пользователем с использованием Сайта.
3. Предмет политики конфиденциальности
Настоящая Политика конфиденциальности устанавливает обязательства Администрации сайта детского сада по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь оставляет (предоставляет) при использовании формы электронного обращения.
Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, включают в себя следующую информацию:
тип заявителя (физическое/юридическое лицо);
фамилию, имя, отчество Пользователя;
адрес места жительства (места пребывания);
адрес электронной почты (e-mail);
изложение сути обращения;
наименование и(или) адрес организации либо должность лица, которому направляется обращение
3.Администрация сайта детского сада защищает персональные данные Пользователей, в процессе предоставления Пользователями своих персональных данных при регистрации на Сайте:
IP адрес;
информация из cookies;
время доступа;
адрес страницы, на которой расположена информация;
реферер (адрес предыдущей страницы).
Отключение Пользователем Cookies может повлечь невозможность его доступа к частям Сайта, Мобильного приложения, требующим авторизации Пользователя.
5.Администрация сайта детского сада осуществляет сбор статистики об IP-адресах своих посетителей.
Любая иная персональная информация, неоговоренная выше, подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п.п. 5.2. и 5.3. настоящей Политики конфиденциальности.
Цели сбора персональных данных пользователя
Персональные данные Пользователя Администрация сайта детского сада может использовать в целях: регистрации электронных обращений и рассмотрения их по существу
Установления с Пользователем обратной связи, касающихся использования Сайта, для отправления ответа на электронное обращение.
Способы и сроки обработки персональных данных
Обработка персональных данных Пользователя осуществляется в пределах сроков, установленных законодательством Республики Беларусь, любым законным способом,
Пользователь соглашается с тем, что Администрация сайта детского сада вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи при необходимости отправки корреспонденции Пользователю; при удаленном хранении данных – дата-центрам, республиканским платформам с использованием облачных технологий на территории Республики Беларусь; иным лицам в соответствии с законодательством Республики Беларусь.
Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Республики Беларусь только по основаниям и в порядке, установленным законодательством Республики Беларусь.
Администрация сайта детского сада принимает необходимые организационные и технические меры для защиты персональных данных Пользователя от неправомерного или случайного, копирования, распространения, а также от иных неправомерных действий третьих лиц.
Администрация сайта детского сада совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.
Обязательства сторон
Пользователь обязан:
Предоставить информацию о персональных данных, необходимую для пользования Сайтом.
Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
Выполнять иные обязанности, установленные законодательством Республики Беларусь для субъекта персональных данных.
Администрация сайта школы обязана:
Использовать полученную информацию о персональных данных Пользователя исключительно для целей, указанных в Разделе 4 настоящей Политики конфиденциальности.
Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя (за исключением случаев, предусмотренных настоящей Политикой конфиденциальности), а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя.
Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
Удалить персональные данные при поступлении соответствующего письменного запроса Пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных.
Ответственность сторон
Администрация сайта детского сада, не исполнившая свои обязательства, несёт ответственность за реальный документально подтвержденный ущерб, причиненный Пользователю в связи с неправомерным использованием его персональных данных по вине Администрации сайта детского сада, в соответствии с законодательством Республики Беларусь, за исключением случаев, предусмотренных п.п. 5.2., 5.3. и 7.2. настоящей Политики Конфиденциальности.
В случае утраты или разглашения персональных данных Пользователя Администрация сайта детского сада не несет ответственность, если данная информация (персональные данные):
Стала публичным достоянием до ее утраты или разглашения.
Была получена от третьей стороны до момента ее получения Администрацией сайта детского сада.
Была разглашена с согласия Пользователя.
Разрешение споров
До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией сайта детского сада, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
При не достижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством Республики Беларусь.
К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией сайта детского сада применяется действующее законодательство Республики Беларусь.
Дополнительные условия
Администрация сайта детского сада вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
Новая Политика конфиденциальности вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.
Все предложения или вопросы по настоящей Политике конфиденциальности следует сообщать по адресу электронной почты https://sad-gory.schools.by/,
Действующая Политика конфиденциальности размещена на странице по адресу о-детском саде /политика-обработки-персональных-данных
https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/
Методологические документы
1. Алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“
1. Назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, определение его должностных обязанностей, утверждение положения об организации внутреннего контроля за обработкой персональных данных.
К основным функциям такого ответственного лица (структурного подразделения) целесообразно отнести, в частности, следующие:
- осуществление (участие в осуществлении) внутреннего контроля за обработкой персональных данных (в этих целях целесообразно утвердить соответствующее положение);
- консультирование руководителя и работников по вопросам применения законодательства о персональных данных;
- участие в разработке (поддержании в актуальном состоянии) документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;
- ведение (координация ведения) реестра обработки персональных данных или иного документа, систематизирующего обработку персональных данных;
- участие в обучении работников и иных лиц, непосредственно осуществляющих обработку персональных данных по вопросам защиты персональных данных (в том числе разработка тестовых и иных заданий, их проверка и т.п.);
- участие в рассмотрении заявлений, жалоб субъектов персональных данных;
- участие во взаимодействии с уполномоченным органом по защите прав субъектов персональных данных – Национальным центром защиты персональных данных Республики Беларусь.
Варианты назначения:
- освобожденный работник (отдельное структурное подразделение);
- возложение дополнительных функций на одного работника организации;
- возложение дополнительных функций на нескольких работников.
Нецелесообразно:
- возложение функций исключительно на специалиста по информационной безопасности;
- назначение ответственных в каждом структурном подразделении.
Конкретные квалификационные требования к работникам, на которых возлагаются функции лица, ответственного за осуществление внутреннего контроля, Законом не определены. Однако принимая во внимание стоящие перед ним задачи, такое лицо должно назначаться c учетом знания законодательства о персональных данных и практики его применения, понимания бизнес-процессов оператора (уполномоченного лица), в которых используются персональные данные, наличия представления об используемых оператором (уполномоченным лицом) информационных системах, их защите, а также способности выполнять упомянутые функции.
Важно обратить внимание, что в связи с назначением лица, ответственного за осуществление внутреннего контроля, ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.
2. Выявление и фиксация бизнес-процессов, в которых используются персональные данные.
С целью осуществления надлежащего контроля за обработкой персональных данных оператором (уполномоченным лицом) необходимо осуществить систематизацию и учет видов обработки персональных данных в конкретной организации. Без этого невозможно обеспечить реализацию положений статьи 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) и реализовать права субъектов персональных данных, например, право на получение информации об обработке персональных данных.
Для указанной цели может быть использован реестр обработки персональных данных или иная форма систематизации видов обработки.
Реестр обработки персональных данных может включать:
- цель обработки;
- подразделение (лицо), ответственное за обработку;
- категории лиц, чьи персональные данные обрабатываются;
- категории обрабатываемых персональных данных;
- правовую основу обработки;
- источник получения персональных данных;
- категории получателей персональных данных;
- срок хранения персональных данных.
Структура реестра обработки персональных данных или иного документа, систематизирующего обработку персональных данных, может определяться оператором (уполномоченным лицом). При этом важно не только создать реестр обработки персональных данных или иной документ, систематизирующий обработку персональных данных, но и поддерживать его в актуальном состоянии.
3. Анализ бизнес-процессов, в которых используются персональные данные, на предмет соответствия требованиям законодательства о персональных данных.
После выявления и фиксации бизнес-процессов, в которых используются персональные данные, необходимо провести анализ обработки на предмет соответствия требованиям законодательства о персональных данных.
В частности, могут рассматриваться следующие вопросы:
- формулирование целей обработки персональных данных, в том числе в целях обеспечения их конкретного характера. Распространенная ошибка – указание общих целей, не позволяющих четко определить предмет обработки и круг персональных данных, требующихся для ее достижения;
- определение правовых оснований для обработки персональных данных исходя из цели обработки. Распространенная ошибка – смешение договора и согласия как самостоятельных правовых оснований обработки посредством включения согласия в текст договора и лишение субъекта персональных данных выбора – давать согласие на обработку или нет;
- оценка соразмерности и избыточности обрабатываемых персональных данных по отношению к цели обработки. Распространенное нарушение – обработка персональных данных, которые не являются необходимыми для цели обработки (например, обработка информации о родственниках, идентификационном номере при рассмотрении резюме);
- соответствие получаемых согласий на обработку персональных данных требованиям статьи 5 Закона, если обработка осуществляется на основании согласия. Распространенное нарушение – непредоставление субъекту необходимой информации, указанной в статье 5 Закона, включение согласия в текст договора без возможности выбора – давать согласие на обработку или нет;
- определение сроков хранения персональных данных исходя из целей обработки. В качестве ориентира при определении сроков хранения персональных данных можно использовать постановление Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 ”О перечне типовых документов Национального архивного фонда Республики Беларусь“. В случае, если сроки хранения не установлены законодательством, установление (уточнение) соответствующего срока осуществляется оператором;
- наличие правовых оснований для предоставления персональных данным уполномоченным лицам. В случае их привлечения к обработке, взаимоотношения между оператором и уполномоченным лицом определяются в соответствии с пунктом 1 статьи 7 Закона.
При отсутствии правовых оснований для обработки, превышении срока хранения, избыточности обрабатываемых персональных данных они подлежат удалению. В случае отсутствия технической возможности удаления персональных данных необходимо принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование.
4. Издание документов, определяющих политику в отношении обработки персональных данных и обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет к данной политике.
Это может быть либо один общий документ, определяющий политику оператора (уполномоченного лица) в отношении обработки персональных данных в виде отдельного (самостоятельного) документа, либо несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора (уполномоченного лица) порядок обработки персональных данных в определенных сферах или в связи с определенными бизнес-процессами (например, в рамках обработки персональных данных на сайте, обработки персональных данных работников и т.п.).
При этом следует обеспечить соотносимость информации о целях, правовых основаниях обработки и круге обрабатываемых персональных данных, а также написание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, простым и доступным языком.
Рекомендации по написанию оператором (уполномоченным лицом) документов, определяющих политику в отношении обработки персональных данных размещены в открытом доступе.
5. Разработка иных (кроме определяющих политику в отношении персональных данных) документов:
? порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).
Данный порядок может включать следующую информацию:
- перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных;
- порядок доступа к персональным данным в иных случаях;
- порядок прекращения доступа работников к обработке персональных данных и т.п.;
? перечня информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых он является, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы).
К таким ресурсам (системам) следует относить, в том числе, такие распространенные ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, сайты организаций, автоматизированные системы контроля и управления доступом, системы видеонаблюдения в организации, системы электронного документооборота и т.п.
Категории персональных данных, подлежащих включению в такие ресурсы (системы), определены в подпункте 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“. С учетом классификации информационных ресурсов (систем), содержащих персональные данные, такие категории предопределяют круг предъявляемых к информационным ресурсам требований по технической и криптографической защите персональных данных.
В случае, если персональные данные содержатся в нескольких информационных ресурсах (системах), то подлежат применению требования к системе защиты информации, устанавливающие более высокий уровень защиты;
? форм согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия. Важно учитывать, что для разных целей обработки данные формы могут отличаться (по кругу обрабатываемых персональных данных, сроку хранения, кругу уполномоченных лиц и т.п.);
? договоров между операторами и уполномоченными лицами в соответствии с требованиями статьи 7 Закона либо дополнительных соглашений в отношении таких договоров;
? устанавливающих сроки хранения персональных данных.
? перечня уполномоченных лиц, если обработка персональных данных осуществляется такими лицами. При этом такой перечень, равно как и сроки хранения персональных данных, могут быть установлены как в виде отдельного документа, так и в документах, определяющих политику оператора в отношении обработки персональных данных, реестре обработки персональных данных;
? порядка удаления (уничтожения) персональных данных.
Удаление персональных данных оформляется и подтверждается актом удаления в случае, если персональные данные содержатся в электронной форме, либо актом уничтожения в случае, если персональные данные содержатся в письменной форме.
Акт удаления (уничтожения) персональных данных разрабатывается в произвольной форме и утверждается руководителем оператора.
6. Внесение изменений в должностные обязанности лиц, обрабатывающих персональные данные.
Исполнение обязанностей, возложенных Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон), на оператора (уполномоченное лицо) при обработке персональных данных субъектов персональных данных, непосредственно осуществляется работниками оператора (уполномоченного лица). При этом все такие работники, независимо от выполняемых ими функций, обязаны соблюдать положения законодательства о персональных данных и локальных правовых актов по данным вопросам.
В целях надлежащего обеспечения защиты персональных данных, прав и свобод субъектов персональных данных, а также с учетом установленной Трудовым кодексом Республики Беларусь дисциплинарной ответственности за неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей целесообразно предусмотреть в должностных инструкциях работников, осуществляющих обработку персональных данных, обязанность ”соблюдать установленный законодательством о персональных данных и локальными правовыми актами порядок обработки персональных данных“.
При необходимости должностные обязанности конкретных работников (например, работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе) (работники кадровых, бухгалтерских служб, работники, ответственные за функционирование информационного ресурса (системы)) в части реализации законодательства о персональных данных могут быть детализированы, в том числе исходя из способов организации оператором выполнения обязанностей, предусмотренных статьей 16 Закона.
Пример.
Обязанность по получению согласий на обработку персональных данных работников в случаях, когда иные правовые основания на такую обработку отсутствуют, возложена не на лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, а на работника кадровой службы организации. Данная обязанность может быть закреплена в должностной инструкции этого работника.
Решение о необходимости детализации должностной инструкции с учетом выполняемых работником функций по реализации Закона принимается нанимателем самостоятельно.
Например, в зависимости от трудовой функции работника в его должностную инструкцию могут быть включены обязанности:
? получать в необходимых случаях согласие субъекта персональных данных на обработку персональных данных;
? осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;
? обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
? обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам и т.п.
7. Ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных.
Работников оператора (уполномоченного лица) и иных лиц, которые непосредственно обрабатывают персональные данные, необходимо ознакомить с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, а также документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных.
Оператор (уполномоченное лицо) может избрать любой механизм подтверждения ознакомления (например, под роспись в журнале), позволяющий в дальнейшем продемонстрировать выполнение им названной обязанности.
8. Обучение лиц, непосредственно осуществляющих обработку персональных данных, и лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.
Операторы (уполномоченные лица) организуют не реже 1 раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.
Требования к организации обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, установлены Указом Президента Республики Беларусь от 28 октября 2021 г. № 422.
Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 ”Об обучении по вопросам защиты персональных данных“ определены категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в Национальном центре защиты персональных данных Республики Беларусь.
Иные лица проходят обучение:
- в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;
- в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
- у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
9. Реализация организационных и технических мер.
Следует обеспечить:
? возможность отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме;
? подтверждение информации о способе полученного согласия и условиях, при которых оно было дано (например, сохранение информации о сеансе, во время которого было получено согласие, вместе с копией информации, которая была предоставлена субъекту в это время);
? фиксацию и хранение информации о предоставлении персональных данных третьим лицам. Это могут быть журналы, если информация предоставлялась в письменном виде, система логирования в информационном ресурсе (системе) и т.п.
10. Осуществление технической и криптографической защиты персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
В соответствии с абзацем пятым пункта 3 статьи 17 Закона обязательной мерой по обеспечению защиты персональных данных является осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
В целях обеспечения надлежащей технической и криптографической защиты персональных данных оператору важно правильно классифицировать в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 12 содержащиеся в информационном ресурсе (системе) персональные данные. В зависимости от вида персональных данных, содержащихся в информационном ресурсе (системе), будут определяться класс типовой информационной системы и, соответственно, требования к системе защиты информации, а также иные мероприятия по технической и криптографической защите защиты персональных данных.
