УТВЕРЖДЕНО
приказ директора
государственного учреждения образования «Телушская
средняя школа Бобруйского района»
20.02.2022 № 45
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Положение об обработке персональных данных в государственном учреждении образования «Телушская средняя школа Бобруйского района» (далее – Положение), разработанное в соответствии с Конституцией Республики Беларусь, Трудовым кодексом Республики Беларусь, Гражданским кодексом Республики Беларусь, Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Законом Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», иными нормативными правовыми актами Республики Беларусь и локальными правовым актами государственного учреждения образования «Телушская средняя школа Бобруйского района» (далее – учреждение образования), определяет цели, принципы, условия и правила обработки персональных данных в государственном учреждении образования «Телушская средняя школа Бобруйского района», меры по обеспечению режима их защиты, права и обязанности субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих обработку персональных данных.
2. Учреждение образования является оператором персональных данных, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников и других субъектов персональных данных в целях:
обеспечения соблюдения законодательства Республики Беларусь;
обеспечения выполнения трудовых договоров (контрактов) с работниками;
содействия работникам в обучении и продвижении по службе;
обеспечения личной безопасности работников;
контроля количества и качества выполняемой работы и обеспечения сохранности имущества учреждения образования;
обеспечения транспортной безопасности;
обеспечения пропуска субъектов персональных данных на объекты учреждения образования;
выполнения социальных обязательств, а также в других целях, предусмотренных уставом и локальными правовым актами учреждения образования.
3. Действие настоящего Положения не распространяется на отношения, касающиеся случаев обработки персональных данных:
физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью;
отнесенных в установленном порядке к государственным секретам.
4. Руководители структурных подразделений учреждения образования несут персональную ответственность за обработку персональных данных, выполнение работниками требований законодательства Республики Беларусь и локальных правовых актов учреждения образования в области обработки персональных данных.
5. В настоящем Положении используются понятия согласно Закону Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
6. При приеме на работу работник должен быть ознакомлен с Положением под подпись до подписания трудового договора (контракта).
7. Выписки из Положения о правах и обязанностях работников в области обработки и защиты персональных данных размещены в свободном доступе на сайте учреждения образования.
8. Типовые формы документов, необходимых для обработки персональных данных, утверждены настоящим Положением. Работники учреждения образования обязаны оформлять документы по утвержденным формам.
ГЛАВА 2
СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В УЧРЕЖДЕНИИ ОБРАЗОВАНИЯ
9. Состав персональных данных, обрабатываемых в учреждении образования:
фамилия, собственное имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
число, месяц, год рождения;
место рождения;
сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства;
вид, серия, номер, код документа, удостоверяющего личность, дата выдачи, наименование (код) органа, выдавшего его;
адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
номера рабочих, домашних (стационарных) и мобильных телефонов или сведения о других способах связи;
реквизиты свидетельства социального страхования;
реквизиты свидетельства о браке;
сведения о семейном положении, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством Республики Беларусь;
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании (обучении), специальность по документу об образовании, квалификация);
сведения об ученой степени;
сведения о владении иностранными языками, включая уровень владения;
фотография работника;
сведения, содержащиеся в трудовом договоре (контракте), дополнительных соглашениях к трудовому договору (контракту), в приложениях к ним;
сведения о пребывании за границей;
сведения о наличии или отсутствии судимости – только кандидатов для приема на работу (соискателей) – в случаях, определенных законодательством;
сведения о государственных наградах, иных наградах и знаках отличия;
сведения о переподготовке и (или) повышении квалификации;
результаты медицинского обследования (осмотра) работника на предмет годности к выполнению трудовых обязанностей;
сведения о трудовых и социальных отпусках;
сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и социальных выплат;
другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в главе 2 настоящего Положения.
10. Категории персональных данных, обрабатываемых в учреждении образования:
1) персональные данные, включенные с письменного согласия субъекта персональных данных в общедоступные источники персональных данных (корпоративные справочники, адресные книги):
фамилия, собственное имя, отчество;
место работы;
занимаемая должность служащего (профессия рабочего);
номера стационарных и мобильных рабочих телефонов;
адреса корпоративной электронной почты;
фотография работника;
2) персональные данные ограниченного доступа – персональные данные, перечисленные в пункте ___ настоящего Положения, за исключением персональных данных, перечисленных в подпункте 9 настоящей главы;
3) специальные персональные данные, касающиеся состояния здоровья работников (обрабатываются в соответствии с требованиями Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и Закона Республики Беларусь от 18.06.1993 № 2435-XII «О здравоохранении»);
4) иные специальные персональные данные, в том числе биометрические персональные данные (обрабатываются в соответствии с требованиями законодательства Республики Беларусь).
11. Документы, содержащие персональные данные:
анкета, автобиография, которые заполняются при приеме на работу (согласно Инструкции о порядке формирования, ведения и хранения личных дел работников, утвержденной постановление Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26.03.2004 № 2);
копия документа, удостоверяющего личность;
личная карточка работника;
трудовая книжка или ее копия;
копии свидетельств о заключении брака, рождении детей;
документы воинского учета;
справки о доходах с предыдущего места работы;
копии документов об образовании;
копии документов обязательного социального страхования;
трудовой договор (контракт);
подлинники и копии приказов по личному составу;
материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;
копии отчетов, направляемые в органы статистики;
другие документы, содержащие персональные данные.
ГЛАВА 3
ПРИНЦИПЫ, УСЛОВИЯ И ПРАВИЛА ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Принципы обработки персональных данных:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
обработке подлежат только те персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
13. Условия обработки персональных данных:
1) обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством. Получение согласия осуществляется в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», Порядком обработки и обеспечения режима защиты персональных данных (далее – Порядок обработки персональных данных).
Все случаи, когда письменное согласие субъекта не требуется, приведены в приложении к настоящему Положению. В остальных случаях учреждение образования оформляет письменное согласие субъекта на обработку его персональных данных. Типовая форма приведена в приложении к настоящему Положению.
2) обработка персональных данных необходима для:
выполнения возложенных на учреждение образования уставом ГУО «Телушская средняя школа Бобруйского района» функций, полномочий и обязанностей;
осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
исполнения договора в рамках трудовых и (или) гражданско-правовых отношений, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3) обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с законодательством.
14. Персональные данные обрабатываются в учреждении образования следующими способами:
неавтоматизированная обработка;
автоматизированная обработка.
15. Обработка персональных данных осуществляется путем:
получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;
получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
формирования персональных данных в ходе кадровой работы;
получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
получения персональных данных в ответ на запросы, направляемые учреждением образования в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
получения персональных данных из общедоступных источников;
фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
внесения персональных данных в информационные системы учреждения образования;
использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой учреждением образования деятельности.
16. Учреждение образования вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством о защите персональных данных и настоящим Положением.
17. Передача персональных данных третьим лицам, в том числе трансграничная передача, допускается только с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных законодательством.
Персональные данные передаются третьим лицам в соответствии с Порядком обработки персональных данных.
18. Все персональные данные являются конфиденциальными, за исключением общедоступных персональных данных.
Общедоступными персональными данными являются персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов. Форма согласия на общедоступность персональных данных приведена в приложении.
19. Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
20. Сроки обработки, хранения и порядок уничтожения персональных данных на материальных носителях, а также в информационных системах учреждения образования определяются Порядком обработки персональных данных.
ГЛАВА 4
МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
21. Учреждение образования обеспечивает защиту персональных данных при их обработке в соответствии с законодательством и локальными правовыми актами учреждения образования на основании принимаемых ими правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
22. Защита персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.
23. Учреждение образования собирает и обрабатывает персональные данные в порядке и в целях, предусмотренных законодательством и настоящим Положением.
24. Учреждение образования не использует персональные данные для контроля поведения их субъекта, в целях дискриминации, причинения морального или материального ущерба, затруднения в реализации прав и свобод.
25. При принятии решений, затрагивающих интересы субъекта, учреждение образования не основывается на данных, полученных исключительно в результате их автоматизированной обработки.
26. Субъект персональных данных не может отказаться от своих прав на защиту личной и семейной тайны.
27. Учреждение образования защищает персональные данные работников в целях:
предотвращения утечки, хищения, утраты, искажения, подделки и иных неправомерных действий с персональными данными;
защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
обеспечения прав субъектов в области персональных данных.
обеспечения сохранности имущества учреждения образования и его работников.
28. Учреждение образования для защиты персональных данных:
обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Республики Беларусь с использованием баз данных, находящихся на территории Республики Беларусь, за исключением случаев, предусмотренных законодательством;
разрабатывает и утверждает локальные правовые нормы о защите персональных данных;
определяет и закрепляет перечень персональных данных;
ограничивает доступ к информации, составляющей персональные данные, закрепляет порядок обращения с этой информацией, особые условия хранения материальных носителей и информации в электронном виде;
ведет учет лиц, получивших доступ к персональным данным или лиц, которым предоставлена или передана такая информация;
заключает с лицами, получившими доступ к персональным данным, обязательства о соблюдении порядка обработки персональных данных. Включает условия о правах, обязанности и ответственности в области обработки и защиты персональных данных в трудовые и гражданско-правовые договоры, заключенные с этими лицами;
наносит грифы конфиденциальности на документы, содержащие информацию, составляющую персональные данные;
обучает работников, получивших доступ к персональным данным, правилам обработки и методам защиты персональных данных. Периодически проверяет знания норм и требований в области защиты персональных данных;
организует и ведет конфиденциальное делопроизводство;
применяет средства и методы технической защиты конфиденциальности информации: устанавливает замки, решетки, механические, электромеханические и электронные устройства охраны.
29. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого незаконного использования.
Перечень лиц, получающих доступ к персональным данным и осуществляющим их обработку утверждается приказом директора. Указанные работники получают доступ к персональным данным только после прохождения процедуры допуска.
30. Допуск к конфиденциальным персональным данным включает:
ознакомление работника с законодательством о защите персональных данных, об ответственности за его нарушение, локальными правовыми актами учреждения образования в области обработки и защиты персональных данных;
принятие работником обязанности соблюдать режим конфиденциальности персональных данных, к которым он получает доступ. Оформление обязательства о соблюдении порядка обработки персональных данных;
принятие работником обязанностей по неразглашению сведений конфиденциального характера после прекращения трудовых отношений;
обучение методам и формам защиты конфиденциальной информации, принятым в учреждении образования;
обязательство не использовать сведения конфиденциального характера в деятельности, не связанной с деятельностью учреждения образования.
С лицами, получающими доступ к персональным данным и осуществляющими обработку персональных данных, заключаются трудовые договоры (контракты) или дополнительные соглашения к трудовым договорам (контрактам) с условием об обеспечении конфиденциальности персональных данных (обязательство по соблюдению установленного порядка обработки персональных данных).
31. Все документы, содержащие персональные данные, хранятся в режиме конфиденциальности. К ним имеют доступ только те лица, которые допущены к таким сведениям в силу исполнения ими своих должностных (функциональных) обязанностей. Конфиденциальное делопроизводство исключает ознакомление с конфиденциальной информацией иных лиц, не имеющих такого доступа.
На конфиденциальных документах:
в правом верхнем углу первого листа ставится гриф «Персональные данные»;
в левом нижнем углу первого листа экземпляра документа, подшиваемого в дело, указывается количество экземпляров и место нахождения каждого из них;
на обороте последнего листа документа указываются должностные лица, получающие доступ к документу.
32. Работники, ответственные за учет и хранение конфиденциальных документов, назначаются приказом директора. Эти же работники регистрируют указанные документы.
33. При работе с документами, содержащими персональные данные, запрещается:
знакомить с ними неуполномоченных лиц;
использовать информацию из этих документов в открытых сообщениях, докладах, переписке, рекламе;
предоставлять свой компьютер для работы другим работникам;
оставлять документы на рабочем месте;
не выключать компьютер.
34. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными Оперативно-аналитическим центром при Президенте Республики Беларусь и Национальным центром защиты персональных данных Республики Беларусь, а также в соответствии с локальными правовыми актами учреждения образования в области обеспечения информационной безопасности.
35. При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе учреждения образования.
36. Учреждение образования хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
Все персональные данные хранятся в недоступном для неуполномоченных лиц месте – сейфах или иных закрывающихся на замок шкафах.
37. При достижении целей обработки учреждение образования уничтожает персональные данные. Исключения:
персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
кандидат на работу желает остаться в кадровом резерве.
ГЛАВА 5
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
38. Субъекты персональных данных имеют право на:
полную информацию о своих персональных данных, обрабатываемых подразделениями учреждения образования;
доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством;
уточнение своих персональных данных, их блокирование или удаление в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;
извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;
отзыв согласия на обработку своих персональных данных;
обжалование в соответствии с законодательством действий учреждения образования при обработке персональных данных или его бездействия;
осуществление иных прав, предусмотренных законодательством.
39. Субъекты персональных данных обязаны:
сообщать в отдел кадров о происшедших изменениях в анкетных данных не позднее двух недель с момента их изменения;
проходить обучение и проверку знаний в области обработки и защиты персональных данных;
соблюдать настоящее Положение;
сохранять конфиденциальность полученных персональных данных.
ГЛАВА 6
ОБЯЗАННОСТИ РАБОТНИКОВ ПРИ РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ПРИ УДАЛЕННОЙ РАБОТЕ
40. Работники, которые обрабатывают документы и информацию с персональными данными, в режиме удаленной работы обязаны:
в нерабочее время отключать доступ к удаленному рабочему столу через VPN, а также при кратковременном отсутствии на рабочем месте блокировать устройство (компьютер, ноутбук, планшет), которое является собственностью нанимателя;
немедленно информировать руководителя структурного подразделения о фактах утраты (недостачи) документов (отдельных листов), содержащих персональные данные работников, а также при пересылке курьерскими службами или почтой;
незамедлительно сообщить в отдел информационной безопасности о попытке или факте взлома устройства;
вовремя обновлять пароли и программное обеспечение, по требованию системы;
устанавливать пароли повышенного уровня сложности или использовать двойную аутентификацию;
для обмена конфиденциальной информацией между работниками использовать только корпоративную почту.
41. Работникам, которые обрабатывают документы и информацию с персональными данными, в режиме удаленной работы запрещено:
разглашать свои индивидуальные пароли доступа к компьютерным, сетевым и иным информационным ресурсам;
использовать для сохранения персональных данных работников личные (не принадлежащие нанимателю) компьютеры (в том числе мобильные — ноутбуки, смартфоны, мобильные телефоны) и съемные USB-накопители;
отправлять рабочие файлы (сканы, фотографии) на личную электронную почту и другие внешние адреса, в том числе с помощью мессенджеров;
использовать удаленный доступ к рабочему столу или компьютер, ноутбук, планшет, смартфон в личных целях;
устанавливать сторонние программы на устройство, которое находится в собственности нанимателя, без согласования с ним:
использовать облачные хранилища в целях копирования рабочий конфиденциальной информации;
отключать или заменять антивирусную защиту на устройстве, которое находится в собственности нанимателя;
отключать неиспользуемые Bluetooth и Wi-Fi, а также убедиться, что на домашнем роутере настроено надежное шифрование (WPA2 и др.);
ограничить число подключаемых внешних устройств (USB, карт памяти, телефонов, внешних жёстких дисков и др.) особенно, если их используют совместно с другими людьми;
отвечать на запросы, которые требуют предоставления персональных данных работников без согласования с нанимателем;
допускать к удаленному рабочему столу или устройству, которое находится в собственности нанимателя третьих лиц.
ГЛАВА 7
ПРАВА И ОБЯЗАННОСТИ УЧРЕЖДЕНИЯ ОБРАЗОВАНИЯ
42. Учреждение образования обязано принимать следующие необходимые и достаточные меры для выполнения обязанностей оператора, предусмотренных законодательством:
назначать ответственного за осуществление внутреннего контроля за обработкой персональных данных;
издавать документы, определяющие политику учреждения образования в отношении обработки персональных данных, нормативные документы по вопросам обработки персональных данных, а также иные локальные правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений;
применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
разъяснять субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством;
блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством;
уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;
представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством и локальными правовыми актами учреждения образования;
осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству о персональных данных, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным правовым актам оператора.
43. Учреждение образования имеет право:
получать достоверные персональные данные от субъекта персональных данных;
привлекать к дисциплинарной и материальной и иной ответственности лиц, нарушивших правила обработки и получения персональных данных.
ГЛАВА 8
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
44. Лица, виновные в нарушении законодательства и локальных правовых актов учреждения образования в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.
45. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством и локальными правовыми актами учреждения образования в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством.
разгарнуць » / « згарнуць