Политика в отношении обработки персональных данных

 

Приложение 1

УТВЕРЖДЕНА

приказом учреждения образования «Бобруйский государственный строительный профессионально-технический колледж»

№ 239 от 01 сентября 2022г.

 

 

 

 

 

 

 

 

 

 ПОЛИТИКА

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

 

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Настоящая Политика учреждения образования «Бобруйский государственный строительный профессионально-технический колледж» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее - Закон о ЗПД).

Политика является локальным правовым актом, регулирующим отношения, связанные с обработкой персональных данных и их защитой при обработке в учреждении образования «Бобруйский государственный строительный профессионально-технический колледж» (далее - Оператор) и меры по обеспечению защиты и безопасности персональных данных, принимаемые Оператором.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.

1.3. Целью Политики является обеспечение надлежащей защиты персональных данных от несанкционированного доступа и разглашения, соблюдение прав и свобод гражданина при обработки его персональных данных, в том числе обеспечение защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4 Передавая Оператору персональные данные, в том числе посредством Интернет-ресурсов, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в Политике.

Актуальная редакция Политики размещена в свободном доступе в глобальной компьютерной сети Интернет на сайте Оператора bgsptk.bobr.by

1.5. Основные понятия, используемые в Политике:

Персональные данные- любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;

Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

Физическое лицо, которое может быть идентифицировано – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;

Специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

Интернет-ресурс, интернет-сайт, страница интернет-сайта, веб-портал, форум, блог, чат, приложение для мобильного устройства и другие ресурсы, имеющие подключение к сети Интернет.

Иные термины и их определения, употребляющиеся в Политике, используются в значениях, определенные законодательством Республики Беларусь.

 

ГЛАВА 2

ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

2.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.

2.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.

2.3. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

2.4. Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных и, в случаях, предусмотренных Законом о ЗПД, предоставляется соответствующая информация, касающаяся обработки его персональных данных.

2.5. Источником получения персональных данных является непосредственно субъект персональных данных, а также лица, предоставившие персональные данные субъекта, в соответствии с действующем законодательством Республики Беларусь.

2.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.7. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.

2.8. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.

2.9. Если иное не предусмотрено законодательством Республики Беларусь, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по требованию субъекта персональных данных, достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.

 

ГЛАВА 3

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Оператор осуществляет обработку персональных данных в следующих целях:

- осуществление деятельности, предусмотренной Уставом Оператора; обработка иных обращений и запросов, получаемых от субъектов персональных данных;

- проведения профориентационной работы с молодежью, приема документов, допуска лиц к сдаче вступительных испытаний, проведения конкурсного отбора, принятия решения о зачислении в число обучающихся Оператора;

- проведения мероприятий и обеспечения участия в них субъектов персональных данных;

- обеспечения пропускного и внутриобъектового режимов, обеспечения безопасности, сохранения материальных ценностей и предотвращения правонарушений;

- библиотечно-информационного облуживания;

- заключения с субъектами персональных данных любых видов договоров и их последующего исполнения;

- регулирования образовательных отношений с обучающимися Оператора;

- обработки сообщений и запросов, поступивших от субъекта персональных данных;

- ведения кадровой работы и организации учета работников Оператора, в том числе привлечение и отбор кандидатов для работы;

- осуществления административных процедур;

- ведения индивидуального (персонифицированного) учета застрахованных лиц;

- ведения воинского учета;

- ведения бухгалтерского и налогового учета;

- начисления и перечисления заработной платы, назначений и выплат пособий;

- заполнения и передачи в государственные органы и иные уполномоченные организации требуемых форм отчетности;

- обработки персональных данных в целях назначения пенсий;

- передачи данных третьим лицам в целях осуществления деятельности Оператора;

- использования персональных данных в рекламных и маркетинговых целях, в том числе направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного и рекламного характера, связанных с продукцией (работами, услугами) Оператора;

- в иных целях, предусмотренных законодательными актами, а также по решению лиц Оператора, ответственных за обработку персональных данных.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями их обработки.

 

ГЛАВА 4

ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:

- кандидатов на работу, работников Оператора, в том числе бывших работников, их супругов и близких родственников;

- абитуриентов, обучающихся и обучавшихся и их законных представителей;

- лиц, являющихся кандидатами в резерв руководящих кадров;

- лиц, не являющиеся работниками Оператора, при обработке наградных документов;

- студентов, иных лиц, прибывшие на практику, стажировку;

- контрагентов – физических лиц, в том числе потенциальных (по договорам);

- представителей потенциальных контрагентов;

- посетителей Оператора, пользователей информационных ресурсов, в том числе Интернет-ресурсов;

- лиц, предоставивших Оператору персональные данные;

- лиц, предоставившие персональные данные Оператору иным путем.

4.2. К персональным данным, обрабатываемые Оператором, относятся:

- фамилия, собственное имя, отчество;

- число, месяц, год рождения;

- паспортные данные, место рождения, цифровой фотопортрет (данные иного документа, удостоверяющего личность);

- идентификационный номер;

- сведения о гражданстве (подданстве);

- сведения о регистрации по месту жительства и (или) месту пребывания;

- личная подпись;

- номер страхового свидетельства государственного социального страхования;

- сведения о состоянии здоровья;

- сведения о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;

- сведения об образовании, квалификации, ученой степени, ученом звании, о роде занятий;

- сведения о переподготовке, повышении квалификации, присвоении категории;

- сведения о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;

- сведения о трудовой деятельности (место работы, должности, характеристика с прежнего места работы);

- сведения о награждениях и поощрениях;

- о пенсии, ином ежемесячном денежном содержании, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;

- о налоговых обязательствах;

- реквизиты банковского счета;

- сведения о социальных льготах и выплатах;

- сведения о членстве в профсоюзах;

- об исполнении воинской обязанности; об инвалидности;

- о наличии исполнительного производства на исполнении в органах принудительного исполнения;

- контактные данные (номер рабочего и мобильного телефонов, электронной почты и др.);

- биометрические персональные данные (фотографии, изображения с камер видеонаблюдения, записи голоса);

4.3. Оператором может обрабатываться следующая техническая информация:

- ІР-адрес;

- информация из браузера, данные из файлов cookie, адрес запрашиваемой страницы;

- история запросов и просмотров на Интернет-ресурсах Оператора;

- иные данные, необходимые для исполнения взаимных прав и обязанностей.

4.4. Оператор обрабатывает специальные персональные данные только при условии согласия субъекта персональных данных либо без согласия в случаях, предусмотренных законодательством Республики Беларусь.

 

ГЛАВА 5

ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. Оператор имеет право:

- получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;

- запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

- в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о ЗПД;

- в случае необходимости, для достижения целей обработки, вправе передавать персональные данные третьим лицам с соблюдением требований законодательства Республики Беларусь;

- отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе, если они являются необходимыми для заявленных целей их обработки;

- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о ЗПД и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о ЗПД;

- осуществлять иные права в соответствии с законодательством в области обработки и защиты персональных данных.

5.2. Оператор обязан:

- организовывать обработку персональных данных в соответствии с требованиями Закона о ЗПД;

- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

- получать согласие субъекта персональных данных на обработку персональных данных, в том числе в случае необходимости изменения первоначально заявленных целей обработки персональных данных при отсутствии иных оснований для такой обработки, за исключением случаев, предусмотренных Законом о ЗПД и иными законодательными актами;

- обеспечивать защиту персональных данных в процессе их обработки;

- в течение пяти рабочих дней после получения заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, касающуюся обработки его персональных данных, либо уведомить о причинах отказа в ее предоставлении;

- в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставить ему информацию о предоставлении его персональных данных третьим лицам в течение года, предшествовавшего дате подачи заявления, за исключением случаев, предусмотренных Законом о ЗПД и иными законодательными актами, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении;

- принимать меры по обеспечению достоверности обрабатываемых им персональных данных путем внесения изменений в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

- в пятнадцатидневный срок после получения заявления субъекта персональных данных вносить соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;

- в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о ЗПД и иными законодательными актами;

- уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

- осуществлять изменение, блокирование или удаление недостоверных, или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

- исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

- принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о ЗПД;

- выполнять иные обязанности, предусмотренные Законом о ЗПД и иными законодательными актами.

5.3. Субъект персональных данных имеет право:

- получать информацию, касающуюся обработки своих персональных данных;

- требовать от Оператора уточнения (изменения) его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;

- получать информацию о предоставлении его персональных данных третьим лицам бесплатно не чаще одного раза в год, за исключением случаев, предусмотренных законодательством Республики Беларусь;

- в любое время без объяснения причин отозвать свое согласие на обработку персональных данных путем подачи Оператору соответствующего заявления;

- требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Политикой, Законом о ЗПД и иными законодательными актами;

- обжаловать действия (бездействия) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных - Национальный центр по защите персональных данных, в порядке, установленном законодательством об обращениях граждан и юридических лиц;

- принимать иные предусмотренные законом меры по защите своих прав.

5.4. Субъект персональных данных обязан:

- предоставлять Оператору достоверные и полные данные о себе;

- своевременно сообщать Оператору об изменении (уточнении, обновлении) своих персональных данных.

Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.

5.5. Информация о фактах обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, касающиеся обработки персональных данных, предоставляются Оператором субъекту персональных данных при получении заявления от субъекта персональных данных. По заявлению субъекта персональных данных также осуществляется изменение его персональных данных, отзыв согласия на обработку персональных данных, прекращение обработки персональных данных и (или) их удаление.

5.6. Заявление субъекта персональных данных может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Республики Беларусь.

5.7. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

 

ГЛАВА 6

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

6.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о ЗПД.

6.2. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.

6.3. Внутренний контроль за соблюдением структурными подразделениями Оператора законодательства и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных.

6.4. Персональная ответственность за соблюдение требований законодательства и локальных правовых актов Оператора в области персональных данных в структурных подразделениях Оператора, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на их руководителей.

6.5. Настоящая Политика вступает в силу со дня ее утверждения.

6.6. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.

6.7. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.