Политика в отношении обработки персональных данных

          

УТВЕРЖДЕНО

Приказом директора учреждения образования

«Центр повышения квалификации руководящих

работников и специалистов Промышленной Безопасности»

15.11.2021 № 53

ПОЛИТИКА в отношении обработки

персональных данных в учреждении образования

Центр повышения квалификации руководящих

работников и специалистов Промышленной Безопасности»

 

ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ

  • Настоящая Политика учреждения образования «Центр повышения квалификации руководящих работников и специалистов Промышленной Безопасности»» (далее – Оператор) в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований абз. 3 п. 3 ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон о защите персональных данных) и определяет:
  1. цели обработки персональных данных;
  2. перечень субъектов, персональные данные которых обрабатываются;
  3. перечень обрабатываемых персональных данных;
  4. условия и порядок обработки персональных данных;
  5. права и обязанности оператора и субъектов персональных данных;
  6. меры, принимаемые Оператором для обеспечения выполнения своих обязанностей при обработке персональных данных;
  7. перечень действий с персональными данными и способы их обработки;
  8. порядок трансграничной передачи данных;
  9. требования к защите персональных данных;
  10. функции оператора при обработке персональных данных;
  11. ответственность за нарушение законодательства о персональных данных.
  • Для целей настоящей Политики используются термины и их определения, приведенные в Законе о защите персональных данных.
  • Во исполнение требований п. 4 ст. 17 Закона о персональных данных Политика публикуется в свободном доступе в глобальной компьютерной сети Интернет на сайте Оператора.

ГЛАВА 2 ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Политика     обработки персональных     данных      определяется      в соответствии       со следующими нормативными правовыми актами:

  • Конституция Республики Беларусь;
  • Гражданский кодекс Республики Беларусь;
  • Трудовой кодекс Республики Беларусь; Налоговый кодекс Республики Беларусь;
  • Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
  • Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
  • Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
  • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

2.2. Правовым основанием обработки персональных данных также являются:

  • согласие субъекта персональных данных, которое должно быть свободным, однозначным и  информированным;
  • договоры, заключаемые между Оператором и субъектами персональных данных;
  • оформление трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных;
  • обработка персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
  • защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможна;
  • обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
  • случаи,    когда законодательными       актами       прямо предусматривается  обработка  персональных данных без согласия субъекта персональных данных.

ГЛАВА 3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Обработка Оператором персональных данных осуществляется в следующих целях:

  • обеспечения соблюдения законодательства о персональных данных;
  • осуществления функций, полномочий и обязанностей в соответствии с законодательством и Уставом Оператора.
  • регулирования трудовых отношений с работниками Оператора, в том числе содействия в трудоустройстве, обучении и продвижении по службе, обеспечении личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества;
  • привлечение и отбор кандидатов на работу у Оператора;
  • организация постановки на индивидуальный (персонифицированный) учет работников Оператора в системе обязательного пенсионного страхования;
  • заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
  • предоставления дополнительных гарантий членам семьи работников Оператора;
  • предоставления дополнительных гарантий по социальной защите неработающим пенсионерам — бывшим работникам Оператора;
  • защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
  • подготовки, заключения, исполнения и прекращения договоров с контрагентами;
  • обеспечения пропускного и иных режимов на объектах Оператора;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
  • сплоченности трудового коллектива, взаимодействия с филиалами, входящими в состав       Оператора;
  • осуществления прав и законных интересов Оператора, предусмотренных уставом и иными локальными правовыми актами Оператора, либо достижения общественно значимых целей;
  • выдачи доверенностей и иных уполномочивающих документов;
  • проверки контрагента
  • в иных законных целях.

ГЛАВА 4 ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ

Оператором обрабатываются персональные данные следующих категорий субъектов: работников Оператора и членов их семей;

бывших работников Оператора и членов их семей;

физических лиц, обратившихся за осуществлением административных процедур; физических лиц, заключающих с Оператором гражданско- правовые договоры; физических лиц, претендующих на занятие вакантной должности;

физических лиц, осуществляющих реализацию прав в соответствии с Законом Республики Беларусь от 18 июля 2011 г. №300-3 «Об обращениях граждан и юридических лиц»;

слушателей и плательщиков Оператора;

других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в гл. 3 Политики).

ГЛАВА 5 ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Оператор обрабатывает следующие персональные данные:
  1. фамилия, собственное имя, отчество (если таковое имеется), в том числе предыдущие фамилии, собственные имена и (или) отчества (если таковые имеются) в случае их изменения;
  2. пол;
  3. гражданство;
  4. дата и место рождения;
  5. номера рабочих, домашних (стационарных) и мобильных телефонов или сведения о других способах связи;
  6. сведения об образовании, опыте работы, квалификации, профессиональной подготовке и повышении квалификации;
  7. персональные данные, сообщаемые кандидатами для приема на работу Оператором, в том числе в случаях, определенных законодательством, наличие уголовной и административной ответственностей;
  8. изображение (фотография); видеоизображение;
  9. паспортные данные и данные идентификационной карты; данные свидетельства социального страхования;
  10. адрес регистрации по месту жительства; адрес фактического проживания;
  11. сведения о государственных наградах, иных наградах и знаках отличия;
  12. результаты медицинского обследования (осмотра) работника на предмет годности к выполнению трудовых обязанностей;
  13. реквизиты банковского счета для перечисления заработной платы,  социальных выплат, оплаты по договору оказания услуг;
  14. сведения о членстве в организациях;
  15. семейное положение, наличие детей, родственные связи (степень родства);
  16. сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
  17. сведения о воинском учете и реквизиты документов воинского учета; сведения о болезнях и инвалидности;
  18. сведения об удержании алиментов;
  19. сведения о доходе с предыдущего места работы;
  20. иные персональные данные в соответствии с законодательством Республики Беларусь в области персональных данных
  • Обработка Оператором биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.
  • Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.

ГЛАВА 6 ФУНКЦИИ ОПЕРАТОРА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Оператор в целях соблюдения законодательства в отношении обработки персональных данных:
    • принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства в области персональных данных;
    • принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
    • назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
    • издает локальные правовые акты, иные организационно-распорядительные документы, определяющие политику и регламентирующие вопросы обработки и защиты персональных данных;
    • осуществляет первичное ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства, локальных правовых актов и иных организационно-распорядительных документов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
    • обеспечивает работников доступом к справочно-правовым системам в целях отслеживания изменений законодательства в области персональных данных;
    • обеспечивает неограниченный доступ к настоящей Политике посредством ее размещения на официальном сайте Оператора;
    • при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными;
    • прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством, локальными правовыми актами, иными организационно-распорядительными документами в области персональных данных;
    • совершает иные действия, предусмотренные законодательством в области персональных данных.

ГЛАВА 7 ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.
  • Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.
  • Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
  • Предоставление персональных данных лицами, допущенными к их обработке, иным лицам, в том числе работникам Оператора, осуществляется исключительно для выполнения непосредственных должностных обязанностей.
  • Оператор вправе поручить обработку персональных данных от имени Оператора или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора, за исключением предоставления персональных данных государственным органам (органам власти), при предоставлении персональных данных которым такой договор не заключается. Договор должен содержать:
  1. цели обработки персональных данных;
  2. перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
  3. обязанности по соблюдению конфиденциальности персональных данных;
  4. меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.

  • В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, реестры, адресные книги и иные схожие справочно-информационные материалы на основании общедоступных персональных данных (распространенных самим субъектом персональных данных либо с его согласия или распространенных в соответствии с требованиями законодательных актов), в которые могут включаться его фамилия, имя, отчество, дата и место рождения, место работы, должность, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
  • Передача персональных данных органам дознания и следствия, в налоговые органы, фонд социальной защиты населения и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.

ГЛАВА 8 ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ

  • Оператор осуществляет обработку персональных данных любые действия или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
  • Обработка персональных данных осуществляется следующими способами: с использованием средств автоматизации;
  • без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

ГЛАВА 9 ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Основные права и обязанности Оператора.
    • Оператор имеет право:
  1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
  2. поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
  3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
  • Оператор обязан:
  1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
  2. отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
  3. сообщать в уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях;
  4. исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.
  • Субъекты персональных данных имеют право на:
  1. отзыв своего согласия;
  2. получение информации, касающейся обработки персональных данных, и изменение персональных данных. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
  3. получение информации о предоставлении персональных данных третьим лицам за исключением случаев, предусмотренных законодательством Республики Беларусь;
  4. требование прекращения обработки персональных данных и (или) их удаления; обжалование действий (бездействия) и решений Оператора (уполномоченного лица),
  5. связанных с обработкой персональных данных, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц..
  6. требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
  • Ответственность за нарушение требований законодательства Республики Беларусь и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.

ГЛАВА 10 МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ СВОИХ ОБЯЗАННОСТЕЙ

  • Оператор при обработке персональных данных:
    • предоставляет субъектам персональных данных необходимую информацию (содержащей наименование и место нахождения оператора, получающего согласие субъекта персональных данных; цели обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; срок, на который дается согласие субъекта персональных данных; информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами; перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных; иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных) до получения их согласий на обработку персональных данных;
    • разъясняет субъектам персональных данных их права, связанные с обработкой персональных данных;

10.1.3. получает письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;

назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;

  • издает документы, определяющие политику Оператора в отношении обработки персональных данных;
  • знакомит работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, и организует обучение указанных работников;
  • устанавливает порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
  • осуществляет техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;;
  • публикует или иным образом обеспечивает неограниченный доступ к Политике;
  • прекращает обработку и удаляет персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
  • незамедлительно уведомляет уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
  • осуществляет изменение, блокирование, удаление недостоверных или полученных незаконным путем персональных данных;
  • ограничивает обработку персональных данных достижением конкретных, заранее заявленных законных целей;
  • осуществляет хранение персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
  • Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами, иными организационно-распорядительными документами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Оператора

ГЛАВА 11 ПОРЯДОК ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:

  • дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
  • персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
  • персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
  • такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
  • такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
  • получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.

ГЛАВА 12 КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ОПЕРАТОРА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Контроль в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия состояния и организации обработки персональных данных законодательству и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства в области персональных данных, выявление возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
  • Внутренний контроль за соблюдением законодательства и локальных правовых актов, иных организационно-распорядительных документов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, назначенным в установленном порядке.

ГЛАВА 13 ОТВЕТСТВЕННОСТЬ ЗА СОБЛЮДЕНИЕ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Лица, виновные в нарушении требований законодательства и локальных правовых актов Оператора, регулирующих обработку персональных данных, в том числе в случае их незаконного предоставления или распространения, несут ответственность, в частности административную в соответствии со статьей 7 Кодекса Республики Беларусь об административных правонарушениях и дисциплинарную в виде увольнения в соответствии с пунктом 10 части первой статьи 47 Трудового кодекса Республики Беларусь.
  • Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных законодательством, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.