Политика в отношении обработки персональных данных

ПОЛОЖЕНИЕ

о политике в отношении обработки персональных данных субъектов персональных данных

1. Общие положения.
   1. Отдел по образованию Краснопольского райисполкома (далее – Отдел) уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных.
   1. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.

Политика  не  применяется  к  обработке  персональных  данных в процессе трудовой деятельности и при осуществлении административных процедур (в отношении работников и бывших работников), при видеонаблюдении, а также при обработке cookie-файлов на интернет-сайте Отдела.

1. Почтовый адрес Отдела: 213561, Могилёвская обл., г.п.Краснополье,  ул.Советская,15;         адрес         в        сети  Интернет: https://www.ookras.by;         e- mail: m.krasnopolie2016@yandex.ru.
   1. В настоящей Политике используются термины и их определения в значении, определенном Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).
   1. В соответствии с требованиями п. 4 ст. 17 Закона Политика публикуется в свободном доступе на официальных ресурсах Отдела в глобальной сети Интернет.

Отдел вправе при необходимости в одностороннем порядке вносить  в  Политику  соответствующие  изменения  с  последующим размещением новой Политики на Сайте. Субъекты персональных данных самостоятельно получают на сайте информацию об изменениях Политики.

1. Персональные данные могут быть использованы Отделом в научных или иных исследовательских целях после обязательного обезличивания таких персональных данных, в частности, для:

подготовки и публикации ежегодных отчетов о своей деятельности; подготовки  и  дачи  разъяснений  по  вопросам  применения

законодательства о персональных данных;

подготовки и осуществления публикаций и выступлений, связанных с исполнением работниками Отдела своих должностных обязанностей.

1. Отдел осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.

• Цели, категории субъектов персональных данных, чьи данные подвергаются обработке, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных.

Отдел осуществляет обработку персональных данных субъектов персональных данных в целях, объеме, на правовых основаниях и в сроки применительно к каждой категории субъектов персональных данных согласно приложению 1 к настоящей Политике.

• Уполномоченные лица.

Трансграничная передача персональных данных

• Отдел поручает обработку персональных данных уполномоченным лицам. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению Отдела, содержится в приложении 2 к настоящей Политике.
  • Отдел не осуществляет трансграничную передачу персональных данных. Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Отдела, если:
    • на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных – без ограничений при наличии правовых оснований, предусмотренных Законом. К таким странам относятся государства-участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28.01.1981;

Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных  данных:  Австрия,  Азербайджан,  Албания,  Андорра, Аргентина, Армения, Бельгия, Болгария, Босния и Герцеговина, Великобритания, Венгрия, Германия, Греция, Грузия, Дания, Ирландия, Исландия, Испания, Италия, Казахстан, Кыргызстан, Кабо-Верде, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Монако, Нидерланды, Норвегия, Остров Маврикий, Польша, Португалия, Республика Молдова, Румыния, Сан-Марино, Северная Македония, Сербия, Словацкая Республика, Словения, Турция, Украина, Финляндия, Франция, Хорватия, Черногория, Чешская республика, Швейцария, Швеция, Эстония, Марокко, Мексика, Российская Федерация, Сенегал, Тунис, Уругвай (п. 3 ст. 4, ст. 6, п. 2 ст. 8 Закона).

• на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных – в случаях, предусмотренных статьей 9 Закона, в том числе:

когда дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

при размещении информации о своей деятельности в глобальной компьютерной сети Интернет;

когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

Перечень иностранных государств, на территории которых не обеспечивающие надлежащий уровень защиты прав субъектов персональных данных: Венесуэла, Вьетнам, Египет, Зимбабве, Израиль, Индия, Индонезия, Иран, Китай, Корея, Куба, Малайзия, Монголия, ОАЭ, Оман, Пакистан, Палестина, Судан, США, Таджикистан, Туркменистан, Узбекистан, Япония (п. 1 ст. 9 Закона).

В случае обработки персональных данных на территории государств, не обеспечивающих надлежащий уровень защиты прав субъектов персональных данных, перед получением согласия на обработку субъект дополнительно информируется о существовании рисков, возникающих в связи с отсутствием надлежащего уровня защиты данных в таких странах, а именно:

об    отсутствии    специального   законодательства,   регулирующего обработку персональных данных, требований по соблюдению таких норм;

об отсутствии обязательных требований по наличию и соблюдению

локальных актов по обработке персональных данных;

об отсутствии уполномоченного государственного органа по защите персональных данных;

о     риске    использования    ненадлежащих    способов     получения персональных данных;

о риске использования ненадлежащих способов защиты персональных данных от утечки;

о риске незаконной обработки персональных данных, в результате чего персональные данные могут стать доступными неограниченному кругу лиц и иных подобных рисках.

• Обработка персональных данных
  • Обработка персональных данных Отделом включает в себя сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, трансграничную передачу, удаление персональных данных.

Предоставление персональных данных осуществляется в случаях: поручения  обработки  персональных  данных  уполномоченным

лицам,

в случаях, предусмотренных ст. 6 и 8 Закона,

в иных случаях с согласия субъекта персональных данных.

Распространение персональных данных осуществляется при информировании о деятельности Отдела на официальном сайте, в социальных сетях на правовых основаниях, предусмотренных приложением к настоящей Политике.

• Отдел обрабатывает персональные данные в целях, указанных в настоящей Политике, с согласия субъектов персональных данных на обработку их персональных данных, если иное не предусмотрено Законом, иными законодательными актами. Отдел предоставляет субъекту персональных данных перед получением согласия на обработку персональных данных всю информацию, необходимую для прозрачности обработки персональных данных, разъясняет последствия дачи и отказа от дачи согласия, обеспечивает получение свободного и однозначного согласия.

Согласие субъекта или его представителя (при наличии надлежаще оформленных полномочий) может быть получено в письменной форме, в виде электронного документа или иной электронной форме.

• Отдел обеспечивает хранение персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем это требуется в соответствии с законодательством Республики Беларусь и заявленными целями обработки персональных данных. После достижения заявленных целей обработки, полученные персональные данные, содержащиеся на бумажных носителях, могут приобретать статус архивного документа и оставаться на хранении в соответствии с Законом Республики Беларусь от 25.11.2011 № 323-З «Об архивном деле и делопроизводстве в Республике Беларусь» на срок, установленный законодательством.
  • Безопасность персональных данных, которые обрабатываются Отделом, обеспечивается путем реализации правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных. Отдел обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие несанкционированный доступ к персональным данным.
• Права и обязанности сторон 5.1.Отдел обязан:

до получения согласия субъекта персональных данных предоставить субъекту персональных данных информацию о планируемой обработке в соответствии с Законом;

до получения согласия разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия;

получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;

обеспечивать защиту персональных данных в процессе их обработки;

предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;

вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных, с уведомлением об этом субъекта персональных данных в установленном порядке;

прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами, с уведомлением об этом субъекта персональных данных в установленном порядке;

уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Институту стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных; выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.

• Субъект персональных данных имеет право:
  • на отзыв своего согласия, если для обработки персональных данных Отдел обращался к субъекту персональных данных за получением согласия. Право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства либо на основании договора);
  • на получение информации, касающейся обработки своих персональных данных Отделом, содержащей:

место нахождения Отдела;

подтверждение       факта       обработки       персональных       данных обратившегося лица Отделом;

персональные данные и источник их получения;

правовые основания и цели обработки персональных данных;

срок, на который дано согласие (если обработка персональных данных осуществляется на основании согласия);

наименование    и     место    нахождения     уполномоченного    лица (уполномоченных лиц);

иную информацию, предусмотренную законодательством;

• требовать от Отдела внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных   данных   прилагает   соответствующие   документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
  • на получение от Отдела информации о предоставлении своих персональных данных, обрабатываемых Отделом, третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами;
  • требовать от Отдела бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
  • на обжалование действий (бездействия) и решений Отдела, нарушающих его права при обработке персональных данных, в порядке, установленном законодательством.
  • Для реализации своих прав, связанных с обработкой персональных данных Отделом, субъект персональных данных подает в Отдел заявление в письменной форме по почтовому адресу, указанному в подпункте 1.3 пункта 1 настоящей Политики, или посредством     государственной         единой                    (интегрированной) республиканской информационной системы учета и обработки обращений граждан и юридических лиц (https://обращения.бел), а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено.

Такое заявление должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

изложение сути требований субъекта персональных данных;

идентификационный  номер  субъекта  персональных  данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;

личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

Отдел не рассматривает заявления субъектов персональных данных, поступившие в его адрес иными способами (e-mail, телефон и т.п).

• За содействием в реализации прав, связанных с обработкой персональных данных Отделом, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Отделе (главный специалист), в том числе направив сообщение на адрес электронной почты, с пометкой «для главного специалиста».