Положение о защите персональных данных
31.08.2023УТВЕРЖДЕНО
приказом заведующего ГУО «Детский сад №118
г. Гомеля»
от 31.08.2023 № 257
Положение о политике
государственного учреждения образования
«Детский сад №118 г. Гомеля»
в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.Настоящий документ определяет политику государственного учреждения образования «Детский сад № 118 г. Гомеля»
(далее — детский сад) (место нахождения: Республика Беларусь, 246018 город Гомель, ул. 8-я Иногородняя, д.2 к.6) в отношении обработки персональных данных, организованной и (или) осуществляемой самостоятельно или совместно с иными лицами.
Настоящая Политика разработана во исполнение требований абзаца третьего пункта 3 статьи 17 Закона Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных) в целях обеспечения защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.
2.В Политике используются термины и определения, в значениях, закрепленных в Законе о защите персональных данных.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
3. Целью Политики является обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.
4. Политика действует в отношении всех категорий, обрабатываемых персональных данных (включая биометрические и специальные персональные данные):
в информационных (электронных) ресурсах (системах) детского сада, в том числе единой электронной системе учета нотариальных действий и наследственных дел;
работников детского сада;
при исполнении договоров;
при рассмотрении обращений;
иных обрабатываемых данных.
5. Детский сад осуществляет обработку персональных данных в соответствии с законодательством, Уставом и Политикой в целях исполнения возложенных на детский сад задач и функций, осуществления полномочий.
6. Действие положения распространяется на процессы, связанные с защитой персональных данных, происходящие при их обработке, осуществляемой:
с использованием средств автоматизации;
без использования средств автоматизации, в случаях, когда поиск персональных данных и (или) доступ к ним обеспечиваются по определенным критериям (картотеки, списки, базы данных, журналы и другое).
7. Детский сад обеспечивает неограниченный доступ к Политике, в том числе с использованием глобальной компьютерной сети Интернет, посредством ее размещения на официальном сайте детского сада в глобальной компьютерной сети Интернет по адресу – sad118gomel.by а также в помещении детского сада, расположенном по адресу: Республика Беларусь, 246018 город Гомель, ул. 8-я Иногородняя, д.2. к.6.
8. Политика предназначена для ознакомления с ней неограниченного круга лиц.
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми детский сад осуществляет обработку персональных данных, в том числе:
- Конституция Республики Беларусь;
- Гражданский кодекс Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Налоговый кодекс Республики Беларусь;
- Закон о защите персональных данных;
- иные нормативные правовые акты, регулирующие отношения, в сфере законодательства о персональных данных.
10. Правовым основанием обработки персональных данных также являются:
- устав детского сада;
- договоры, заключаемые между детским садом и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
ГЛАВА 4
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
11. Детский сад осуществляет обработку персональных данных в соответствии с требованиями законодательства в целях, указанных в Политике.
12. Персональные данные хранятся:
на бумажных носителях;
в электронном виде.
10. Обработка персональных данных осуществляется детским садом совместно с управлением по образованию Гомельского района, а также самостоятельно.
11. Обработка персональных данных осуществляется детским садом с согласия субъекта персональных данных в случаях, установленных статьей 5 Закона о защите персональных данных, и без получения согласия в случаях, установленных статьей 6 Закона о защите персональных данных.
12. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие.
При отсутствии технической возможности удаления персональных данных детский сад обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных.
Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения (в соответствии с поданным заявлением об отзыве согласия) не является незаконной.
Печатные издания, аудио- либо видеозаписи программ, радио-, телепрограммы, кинохроникальные программы, иная информационная продукция, содержащие персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат изъятию из гражданского оборота.
13. Предоставление персональных данных осуществляется детским садом в случаях, установленных законодательством.
14. Распространение персональных данных осуществляется детским садом в случаях, установленных законодательством.
15. Обрабатываемые персональные данные подлежат удалению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
16. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
ГЛАВА 5
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
17. Субъекты персональных данных имеют право:
на отзыв согласия на обработку своих персональных данных;
на получение информации, касающейся обработки своих персональных данных;
требовать от детского сада внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
на получение информации о предоставлении своих персональных данных третьим лицам;
требовать прекращения обработки своих персональных данных;
требовать удаления своих персональных данных;
обжаловать действия (бездействие) и решения детским садом, связанные с обработкой своих персональных данных;
осуществлять иные права, предусмотренные законодательством.
18. Субъект персональных данных для реализации перечисленных в пункте 17 Политики прав подает заявление в письменной форме либо в виде электронного документа в детский сад порядке, установленном статьей 14 Закона о защите персональных данных. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.
Заявление субъекта персональных данных должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия детскому саду или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
19. Детский сад обязан в пятнадцатидневный срок после получения заявления об отзыве согласия на обработку персональных данных субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о защите персональных данных и иными законодательными актами.
Детский сад обязан в течение пяти рабочих дней после получения заявления о получении информации, касающейся обработки персональных данных, субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, указанную в части первой пункта 1 статьи 11 Закона о защите персональных данных, либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.
Детский сад обязан в пятнадцатидневный срок после получения заявления о внесении изменений в персональные данные субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.
Детский сад обязан в пятнадцатидневный срок после получения заявления о получении информации о предоставлении персональных данных третьим лицам субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении.
ГЛАВА 6
ОБЯЗАННОСТИ ОПЕРАТОРА
20. Детский сад, помимо обязанностей, закрепленных в Главе 5 Политики, обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.
ГЛАВА 7
ОБЖАЛОВАНИЕ ДЕЙСТВИЙ (БЕЗДЕЙСТВИЯ) И РЕШЕНИЙ ДЕТСКИМ САДОМ, СВЯЗАННЫХ С ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
21. Субъект персональных данных вправе обжаловать действия (бездействие) и решения детского сада, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
22. Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.
ГЛАВА 8
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
23. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
24. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется уполномоченным органом по защите прав субъектов персональных данных.
ГЛАВА 9
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
25. Детский сад при обработке персональных данных руководствуется законодательством и принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
26. Детский сад принимает меры, необходимые и достаточные для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона о защите персональных данных и иных актов законодательства, в том числе обязательные меры в соответствии с пунктом 3 статьи 17 Закона о защите персональных данных, в частности: осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
27. Детский сад осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором.
ГЛАВА 10
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
28. Политика вступает в силу с 31.08.2023.