Политика в отношении обработки персональных данных государственного учреждения образования «Гимназия №1 г. Витебска имени Ж. И. Алфёрова»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных разработана во исполнение требований абзаца 3 пункта 3 статьи 17 Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее ‒ Закон о персональных данных) (далее ‒ Политика) в целях обеспечения защиты прав и свобод граждан при обработке персональных данных.
1.2. Оператором, который будет осуществлять обработку персональных данных в соответствии с должностными полномочиями, является государственное учреждение образования «Гимназия № 1 г.Витебска имени Ж.И.Алфёрова» (далее ‒ гимназия).
1.3. Политика вступает в силу с 16 декабря 2021 г. и действует в отношении всех персональных данных, которые обрабатывает оператор.
1.4. Во исполнение требований пункта 4 статьи 17 Закона о персональных данных Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте оператора.
1.5. Политика является локальным документом оператора. Оператор вправе, при необходимости, в одностороннем порядке вносить в Политику соответствующие изменения с последующим размещением Политики в новой редакции на сайте оператора.
1.6. Субъекты самостоятельно получают на сайте информацию об изменениях Политики. Согласие субъектов персональных данных на их обработку представляет собой свободное, однозначное, информированное выражение их воли, посредством которого они разрешают обработку своих персональных данных. Таким образом, в соответствии с гражданскими правоотношениями субъекты, предоставляя документы, содержащие персональные данные, а также сообщая устно сведения о себе, лицах, законными представителями которых они являются (далее ‒ зависимые лица), близких родственниках (не выразив несогласие оператору их предоставлять и сообщать), соглашаются на обработку таких данных оператором в соответствии с законодательством. Также, не выразив оператору несогласие на ведение аудиозаписей, фото- и видеосъемок в своем присутствии, присутствии зависимых лиц, субъекты, фактически, дают согласие на обработку персональных данных, полученных в процессе аудиозаписей и видеосъемок (о таковых субъекты надлежащим образом должны быть уведомлены оператором: путем размещения табличек в общем доступе или иными установленными законодательством способами). В вышеуказанных случаях письменного согласия субъектов на обработку их персональных данных, а также персональных данных зависимых лиц не требуется.
1.7. Основные понятия, используемые в Политике:
персональные данные ‒ любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
субъекты персональных данных ‒ физические лица, в отношении которых осуществляется обработка персональных данных;
оператор персональных данных ‒ государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
обработка персональных данных ‒ любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение;
автоматизированная обработка персональных данных ‒ обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных ‒ действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных ‒ действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
блокирование персональных данных ‒ прекращение доступа к персональным данным без их удаления;
удаление персональных данных ‒ действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных ‒ действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретным субъектам персональных данных;
информационная система персональных данных ‒ совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.8. Основные права и обязанности оператора.
1.8.1. Оператор имеют право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
2) поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
3) в случае отзыва субъектами персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъектов персональных данных при наличии оснований, указанных в Законе о персональных данных;
4) осуществлять проверку точности, достоверности и актуальности предоставляемых персональных данных в случаях, объеме и порядке, предусмотренных законодательством;
5) реализовывать иные права в соответствии с законодательством.
1.8.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченные органы по защите прав субъектов персональных данных о нарушениях системы защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях;
4) исполнять требования уполномоченных органов по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
5) нести ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов оператора в сфере обработки и защиты персональных данных, определенную в соответствии с законодательством Республики Беларусь;
6) использовать персональные данные субъектов только в целях, предусмотренных пунктом 2 настоящей Политики.
1.9. Субъекты персональных данных имеют право:
1) получать информацию, касающуюся обработки их персональных данных, персональных данных зависимых лиц, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъектам персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, зависимых лиц, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлены Законом о персональных данных;
2) требовать от оператора внесения дополнительных персональных данных в обрабатываемые персональные данные в случае, если персональные данные субъектов являются неполными, устаревшими, неточными;
3) получать информацию о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Республики Беларусь;
4) в любое время без объяснения причин отозвать свое согласие на обработку персональных данных; отказаться от обработки персональных данных оператором;
5) требовать от оператора блокирования или удаления обрабатываемых персональных данных, если они незаконно получены или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
6) обжаловать действия (бездействие) и решения оператора, нарушающие их права при обработке персональных данных, в уполномоченные органы по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
1.10. Субъекты персональных данных несут ответственность за точность, достоверность, актуальность и избирательность предоставляемых персональных данных в соответствии с законодательством Республики Беларусь.
1.11. Ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.
2. Цели сбора оператором персональных данных
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка оператором персональных данных осуществляется в целях:
— осуществления деятельности в соответствии с положениями, уставами и иными локальными документами оператора;
— заключения и исполнения договоров;
— формирования баз данных несовершеннолетних в соответствии с законодательством;
— организации образовательного процесса;
— организации пропускного режима и безопасности граждан;
— рассмотрения обращений граждан и юридических лиц, исполнения административных процедур;
— организации приема на работу и исполнения трудового законодательства;
— ведения воинского учета;
— ведения бухгалтерского учета;
— осуществления государственного социального страхования;
— аттестации работников;
— рассмотрения споров, подготовки к судебным заседаниям;
— защиты прав и законных интересов несовершеннолетних;
— расследования несчастных случаев;
— предоставления статистических данных и иной отчетности;
— иных целях, в соответствии с законодательством.
3. Правовые основания, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
3.1. Правовыми основаниями обработки персональных данных являются действующее законодательство Республики Беларусь, положения, уставы и иные локальные документы оператора, договоры.
3.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.3. Оператор может обрабатывать следующие персональные данные в зависимости от категорий субъектов персональных данных и целей обработки:
— паспортные данные или данные иного документа, удостоверяющего личность;
— фотографии субъектов персональных данных;
— адрес фактического проживания;
— место работы, занимаемая должность (специальность, профессия); место обучения;
— контактные данные (номер телефона, адрес электронной почты);
— данные, которые автоматически передаются устройствами субъектов персональных данных, с помощью которых используется сайт оператора, в том числе технические характеристики устройств, IP-адреса, информация, сохраненная в файлах «cookies», которые были отправлены на устройства, информация о браузерах, дата и время доступа к сайтам, адреса запрашиваемых страниц, данные о местоположении в случае, если субъекты персональных данных сообщили свои координаты, логины и пароли, иная подобная информация;
— сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации, трудовой деятельности, семейном положении и родственных связях, иные персональные данные и сведения, предоставляемые и сообщаемые субъектами.
4. Порядок и условия обработки персональных данных
4.1. Обработка персональных данных осуществляется оператором в соответствии с требованиями законодательства Республики Беларусь.
4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.
4.3. Согласие субъектов персональных данных может быть получено как путем собственноручного подписания согласия, так и путем проставления соответствующей электронной отметки на сайте Пользователя, иных информационных ресурсах, другими способами, позволяющими установить факт получения согласия (мнения) субъектов персональных данных, в том числе путем свободного волеизъявления в процессе общения с представителями оператора.
4.4. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
4.5. К обработке персональных данных допускаются работники оператора, в должностные обязанности которых входит обработка персональных данных.
4.6. Обработка персональных данных осуществляется путем:
— получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
— получения персональных данных из общедоступных источников;
— внесения персональных данных в журналы, реестры и иные документы оператора, а также в их и информационные системы;
— использования иных способов обработки персональных данных.
4.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъектов персональных данных, если иное не предусмотрено законодательством.
4.8. Передача персональных данных правоохранительным и судебным органам, государственным органам и организациям, иным организациям осуществляется в соответствии с требованиями законодательства Республики Беларусь.
4.9. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий. Отношения в сфере обработки и защиты персональных данных регулируются локальными правовыми актами, действующими у оператора.
4.10. Оператор осуществляет обработку персональных данных не дольше, чем этого требуют цели обработки персональных данных. Определенный срок обработки персональных данных может быть установлен законодательством Республики Беларусь, локальными документами оператора, договорами, согласием субъектов персональных данных.
4.11. Обработка персональных данных прекращается при наступлении одного или нескольких из указанных событий:
— поступление от субъектов персональных данных отзыва согласия на обработку их персональных данных в установленном порядке;
— достижение целей их обработки;
— истечение срока действия согласия субъектов персональных данных;
— истечение срока обработки персональных данных, утрата их актуальности;
— обнаружение неправомерной обработки персональных данных;
— прекращение деятельности организации.
5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных
5.1. Подтверждение факта обработки персональных данных оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в пунктах 1 и 4 статьи 11; пункте 1 статьи 12 Закона о персональных данных, предоставляются оператором субъектам персональных данных при получении заявления субъектов персональных данных.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
5.2. В случае выявления неточных персональных данных при обращении субъектов персональных данных, получения от них заявления, или по запросу уполномоченных органов по защите прав субъектов персональных данных оператор осуществляет блокирование персональных данных, относящихся к этим субъектам персональных данных, с момента получения указанного заявления или запроса на период проверки.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектами персональных данных либо уполномоченными органами по защите прав субъектов персональных данных, или иных необходимых документов уточняют (изменяют) персональные данные в течение 15 дней со дня представления таких сведений и снимают блокирование персональных данных.
5.3. В случае выявления неправомерной обработки персональных данных при получении заявления субъектов персональных данных либо запроса уполномоченных органов по защите прав субъектов персональных данных оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этим субъектам персональных данных, с момента такого обращения или получения заявления (запроса).
5.4. При достижении целей обработки персональных данных, а также, в случае отзыва субъектами персональных данных согласия на их обработку, персональные данные подлежат удалению, если иное не предусмотрено другим соглашением между оператором и субъектами персональных данных или законодательством.
5.5. На основании настоящей Политики разрабатываются иные локальные документы оператора, которые не должны противоречить настоящей Политике.