О защите персональных данных

Об информации, информатизации и защите информации

                                                                                                             УТВЕРЖДЕНО

      приказ директора

      ЦКРОиР г. Гродно

      07.06.2022 №

ПОЛИТИКА

в отношении обработки

персональных данных учреждения образования «Государственный центр коррекционно-развивающего обучения и реабилитации г. Гродно»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных в учреждении образования «Государственный центр коррекционно-развивающего обучения и реабилитации г. Гродно» (далее – Политика) разработана на основании Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее - Закон), иных нормативных правовых актов Республики Беларусь.

1.2. Настоящая Политика определяет деятельность государственного учреждения образования «Государственный центр коррекционно-развивающего обучения и реабилитации г. Гродно» (далее – ЦКРОиР, Оператор) в отношении обработки персональных данных, включая основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, а также права и обязанности Оператора и субъектов персональных данных. 

1.3. Для целей настоящей Политики используются определения, содержащиеся в Законе Республики Беларусь «О защите персональных данных».

1.4. Действие настоящей Политики распространяется на физических лиц, в отношении которых ЦКРОиР осуществляет обработку персональных данных (субъектов персональных данных). 

1.5. Положения Политики являются основой для разработки локальных правовых актов, регламентирующих в ЦКРОиР вопросы обработки персональных данных работников, обучающихся и иных субъектов персональных данных.

1.6. Место нахождения Оператора: 230010, г. Гродно, ул. БЛК, 33.

1.7. Во исполнение требований п. 4 ст. 17 Закона Положение публикуется в свободном доступе на официальном сайте учреждения, во вкладке «Защита персональных данных», в сети интернет.

2. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка Оператором персональных данных осуществляется в следующих целях:

обеспечения соблюдения законодательства Республики Беларусь;

осуществления деятельности в соответствии с Уставом Оператора;

ведения кадрового делопроизводства;

реализации законодательства о борьбе с коррупцией;

содействия работникам в трудоустройстве, получении образования,

обеспечения личной безопасности работников, обеспечение сохранности

имущества;

привлечения и отбора кандидатов на работу;

организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;

заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности, в том числе банка данных о детях с ОПФР;

осуществления гражданско-правовых отношений;

ведения бухгалтерского учета;

осуществления административных процедур, в том числе выдачи справок об обучении и заключений государственного ЦКРОиР;

сбора информации через формы обратной связи, сбора статистической информации, администрирования официального сайта;

организации пропускного режима;

рассмотрения обращений граждан и юридических лиц.

2.2. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

Конституция Республики Беларусь;

Гражданский кодекс Республики Беларусь;

Трудовой кодекс Республики Беларусь;

Кодекс об образовании Республики Беларусь;

Закон.

Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

2.3. Правовым основанием обработки персональных данных также могут являться:

договоры, заключаемые между Оператором и субъектами персональных данных;

согласие субъектов персональных данных на обработку их персональных данных (за исключением случаев, когда согласие субъекта персональных данных на обработку не требуется).

3. ОБЪЁМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ

ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

         3.1. Содержание и объем персональных данных должны соответствовать заявленным целям обработки, предусмотренным Политикой. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям.

3.2.  Оператор может осуществлять обработку персональных данных следующих категорий субъектов персональных данных:

3.2.1. кандидатов для приема на работу:

ФИО;

дата и место рождения;

гражданство;

паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);

данные свидетельства о рождении работника (членов семьи работника), о

браке и о смене фамилии и (или) имени (номер, дата выдачи, наименование органа, выдавшего документ, и др.) (при необходимости);

пол;

сведения о семейном положении и составе семьи с указанием ФИО членов семьи, даты рождения, места работы и/или учебы;

сведения о регистрации по месту жительства (включая адрес, дату регистрации);

сведения о месте фактического проживания;

номер и серия страхового свидетельства государственного социального страхования;

данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;

идентификационный номер;

сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе);

специальность, профессия, квалификация;

сведения о воинском учете;

сведения о привлечении к административной, уголовной ответственности и нарушении антикоррупционного законодательства;

сведения медицинского характера (в случаях, предусмотренных законодательством);

биометрические персональные данные (включая фотографии);

сведения о социальных льготах и выплатах;

контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);

сведения о награждениях и поощрениях;

иные данные, которые могут быть указаны в резюме или анкете кандидата.

 3.2.2. работников, в том числе уволенных (работники и бывшие работники:

ФИО;

пол;

гражданство;

дата и место рождения (место проживания);

изображение (фотография);

паспортные данные;

адрес регистрации по месту жительства;

адрес фактического проживания;

контактные данные (мобильный, домашний номера телефонов);

сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

семейное положение, наличие детей, родственные связи;

сведения о трудовой деятельности, в том числе наличие поощрений,

награждений и (или) дисциплинарных взысканий;

данные о регистрации брака;

сведения о воинском учете;

сведения об инвалидности;

сведения об удержании алиментов;

сведения о доходе с предыдущего места работы и имуществе работника и членов его семьи;

реквизиты банковского карт-счета;

иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;

3.2.3. членов семьи работника:

ФИО;

степень родства;

год рождения;

иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства;

3.2.4. обучающихся:

ФИО;

дата и место рождения;

данные свидетельства о рождении;

сведения о составе семьи с указанием ФИО членов семьи, даты рождения, места работы и/или учебы;

сведения о регистрации по месту жительства (включая адрес, дату регистрации);

сведения о месте фактического проживания;

сведения медицинского характера (медицинские справки о состоянии здоровья, выписка из медицинских документов);

сведения о социальных льготах и выплатах (свидетельство инвалида);

биометрические персональные данные (включая фотографии);

контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);

3.2.5. законных представителей обучающихся:

ФИО;

контактные данные (мобильный, домашний номера телефонов, адрес электронной почты);

паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);

сведения о регистрации по месту жительства (включая адрес, дату регистрации);

сведения о месте фактического проживания;

иные данные, необходимые для исполнения взаимных прав и обязанностей

между Оператором и субъектом;

3.2.6. посетители Оператора (несовершеннолетние и их законные представители):

ФИО;

дата и место рождения;

сведения о семейном положении и составе семьи с указанием ФИО членов семьи, даты рождения, образовании, месте работы и/или учебы;

адрес регистрации по месту жительства;

сведения о месте фактического проживания;

контактные данные;

сведения медицинского характера (медицинская справка о состоянии

здоровья, выписка из медицинских документов);

сведения из учреждения образования, где обучается или воспитывается

ребенок (педагогическая характеристика);

иные данные, необходимые для исполнения взаимных прав и обязанностей

между Оператором и субъектом;

3.2.7. представители юридических лиц:

ФИО;

паспортные данные;

контактные данные;

занимаемая должность;

иные персональные данные, предоставляемые для заключения и исполнения договоров.

3.3. Обработка Оператором биометрических персональных данных осуществляется в соответствии с законодательством Республики Беларусь.

4. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных в Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и обучающихся, а также иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

4.1.1. обработка персональных данных осуществляется на законной и справедливой основе;

4.1.2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

4.1.3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

4.1.4. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки; обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Работники ЦКРОиР г. Гродно, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций;

4.1.5. обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

4.1.6. Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

4.1.7. хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

4.2. Персональные данные обрабатываются Оператором в целях:

4.2.1 осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на ЦКРОиРРРР г. Гродно, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы и организации;

• осуществления прав и законных интересов ЦКРОиРРРР г. Гродно в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами ЦКРОиРРРР г. Гродно, либо достижения общественно значимых целей;

4.2.3. рассмотрения возможности трудоустройства кандидатов; проверки кандидатов (в том числе их квалификации и опыта работы);

4.2.4. регулирования образовательных отношений с обучающимися ЦКРОиРРРР г. Гродно;

• защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
• проведения мероприятий и обеспечения участия в них субъектов персональных данных;
• обеспечения пропускного режима на объектах ЦКРОиРРРР г. Гродно; обеспечения безопасности, сохранения материальных ценностей и предотвращения правонарушений в ЦКРОиРРРР г. Гродно;
• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
• в иных целях по решению лиц, ответственных за организацию обработки персональных данных в ЦКРОиРРРР г. Гродно.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных в Оператором осуществляется в соответствии с требованиями законодательства Республики Беларусь.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.

5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.5. Обработка персональных осуществляется путем:

получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

получения персональных данных из общедоступных источников;

внесения персональных данных в журналы, реестры и информационные системы Оператора;

использование иных способов обработки персональных данных.

5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

5.7. Передача персональных данных в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.

5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.

5.9. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлены законодательством Республики Беларусь, договором.

6. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКОГО ЛИЦА БЕЗ ЕГО СОГЛАСИЯ

6.1. Оператор не обрабатывает персональные данные физического лица без его согласия.

6.2. Если персональные данные не относятся к категории специальных (расовой либо национальной принадлежности; политических взглядов, членства в профессиональных союзах, религиозных или других убеждений; здоровья или половой жизни; привлечения к административной или уголовной ответственности; биометрические данные), то согласие на их обработку не берется:

6.2.1. в рамках трудовых (служебных) отношений, включая их оформление, когда обработка персональных данных предусмотрена законодательством

6.2.2. при получении персональных данных при заключении договора с физическим лицом, а также исполнение такого договора;

6.2.3. при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном физическим лицом, в соответствии с содержанием такого документа (при обращении, в том числе за осуществлением административных процедур);

6.2.4. при обработке распространенных ранее персональных данных;

6.2.5. для осуществления учета, расчета и начисления платы за услуги и возмещения налогов, а также при предоставлении льгот и взыскании задолженности;

6.2.6. для обработки персональных данных в научных или иных исследовательских целях (при проведении опросов);

6.2.7. при обработке персональных данных, необходимых для выполнения обязанностей (полномочий) должностных лиц Оператора, предусмотренных законодательными актами;

6.2.8. для защиты жизни, здоровья или иных жизненно важных интересов физического лица, если получение его согласия невозможно;

6.2.9. для исполнения судебных постановлений и иных исполнительных документов;

6.2.10. при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией;

6.2.11. когда обработка осуществляется в целях назначения и выплаты пенсий, пособий;

6.2.12. в случаях, когда законодательными актами прямо предусматривается обработка персональных данных без согласия физического лица.

6.3. В случае обработки специальных персональных данных согласие на их обработку не берется:

6.3.1. если специальные персональные данные сделаны общедоступными самим физическим лицом;

6.3.2. при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности в случаях, предусмотренных законодательством;

6.3.3. для исполнения судебных постановлений и иных исполнительных документов;

6.3.4. для защиты жизни, здоровья или иных жизненно важных интересов физического лица или иных лиц, если получение их согласия невозможно;

6.3.5. в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

6.3.6. в случаях, когда законодательными актами прямо предусматривается обработка специальных персональных данных без согласия физического лица.

7. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ

ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор имеет право:

7.1.1. получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

7.1.2. запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

7.1.3. отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе если они являются необходимыми для заявленных целей их обработки;

7.1.4. в случае необходимости для достижения целей обработки вправе передавать персональные данные третьим лицам с соблюдением требований законодательства Республики Беларусь.

7.2. Оператор обязан:

7.2.1. обрабатывать персональные данные в порядке, установленном законодательством Республики Беларусь;

7.2.2. обеспечивать защиту персональных данных в процессе их обработки;

7.2.3. принимать меры по обеспечению достоверности обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;

7.2.4. рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы;

7.2.5. предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;

7.2.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных;

7.2.7. выполнять иные обязанности, предусмотренные законодательством Республики Беларусь.

7.3. Субъект персональных данных имеет право:

7.3.1. на получение информации, касающейся обработки Оператором его персональных данных;

7.3.2. на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

7.3.3. на отзыв своего согласия на обработку персональных данных;

7.3.4. на получение информации о предоставлении своих персональных данных третьим лицам;

7.3.5. на прекращение обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки;

7.3.6. на обжалование действий/бездействий и решений Оператора, относящихся к обработке его персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством;

7.3.7. на осуществление иных прав, предусмотренных законодательством Республики Беларусь.

7.4. Субъект персональных данных обязан:

7.4.1. предоставлять Оператору достоверные сведения о себе;

7.4.2. в случае необходимости предоставлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;

7.4.3. информировать в установленные сроки Оператора об изменениях своих персональных данных.

7.5. Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.

8. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Трансграничная передача персональных данных запрещена на территории иностранных государств, где не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:

8.1.1. дано согласие субъекта персональных данных;

8.1.2. персональные данные получены на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;

8.1.3. персональные данные могут быть получены любым лицом посредством направления запроса в случае и порядке, предусмотренных законодательством;

8.1.4. передача необходима для защиты жизни и здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия персональных данных невозможно;

8.1.5. обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;

8.1.6. передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;

8.1.7. получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.

8.2. Трансграничная передача персональных данных на территории иностранных государств, где не обеспечивается надлежащий уровень защиты прав субъектов персональных данных регулируется Положением о порядке на трансграничную данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, утвержденного  приказом директора Национального центра защиты персональных данных 15.11.2021 № 14.

8.2. Основанием для трансграничной передачи персональных данных служит согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами.

8.3. В случае обработки персональных данных без согласия субъекта персональных данных   цели обработки персональных данных устанавливаются Законом и иными законодательными актами.

8.4. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, включаются иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года.

Приложение 1

к Положению о порядке осуществления внутреннего контроля за обработкой персональных данных

ПЛАН

проведения мониторинга обработки персональных данных

на ______ год

Составил                                                         ______________

                                                                                                               Ф.И.О  ответственного лица

Приложение 2

к Положению о порядке осуществления внутреннего контроля за обработкой персональных данных

ОТЧЕТ № ____

о проведении проверки

Настоящий отчет составлен о том, что в период с ________ по _______

                                                                                                                 (дата)                       (дата)

_________________________________________________________________

                                                   (должность, Ф.И.О. работника, проводившего проверку)

проведена проверка ______________   ________________________________.

                                             (форма проверки)             (наименование структурного подразделения) 

В ходе проверки осуществлены следующие мероприятия:

__________________________________________________________________________________________________________________________________

_________________________________________________________________

Выявленные недостатки (при наличии):

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

Предложения по совершенствованию обработки персональных данных:

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

Срок устранения выявленных недостатков (при их наличии): _________________________________________________________________

_____________

(дата)