Кобринский районный исполнительный комитет
Государственное учреждение «Комплексная специализированная детско-юношеская школа олимпийского резерва Кобринского района»
ПОЛОЖЕНИЕ
об обработке персональных данных
г.Кобрин
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение определяет порядок:
обработки персональных данных в государственном учреждении «Комплексная специализированная детско-юношеская школа олимпийского резерва Кобринского района» (далее – ГУ «Комплексная СДЮШОР Кобринского района»);
доступа к персональным данным, обрабатываемым в ГУ «Комплексная СДЮШОР Кобринского района»;
осуществления внутреннего контроля за обработкой персональных данных;
реагирования на нарушения системы защиты персональных данных в ГУ «Комплексная СДЮШОР Кобринского района».
1.2. Для целей настоящего Положения используются термины, употребляемые в Законе, а также следующие понятия:
обучающиеся – студенты, в том числе находящихся на государственном обеспечении (их родителей), в социально опасном положении, магистранты, аспиранты, слушатели Института.
пользователь – посетитель (пользователь) интернет-сайта Института;
представитель контрагента – должностное лицо юридического лица, уполномоченное от его имени заключать сделки с ГУ «Комплексная СДЮШОР Кобринского района».
2. ОРГАНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНСТИТУТЕ
1. Для обеспечения защиты персональных данных в ГУ «Комплексная СДЮШОР Кобринского района»:
введена система аутентификации и идентификации работников при работе на персональных компьютерах;
обеспечивается разграничение доступа пользователей к компьютерам, информационным системам (ресурсам);
обеспечивается целостность и доступность персональных данных в информационных системах (ресурсах);
осуществляется защита персональных компьютеров, в том числе информационных систем (ресурсов), от вредоносного программного обеспечения;
внедрены программно-аппаратные комплексы межсетевого экранирования;
осуществляется мониторинг событий информационной безопасности не реже одного раза в месяц;
установлен порядок доступа к персональным данным;
установлен порядок доступа в помещения.
2. Работники для работы на персональных компьютерах должны пройти идентификацию и аутентификацию посредством ввода личного имени пользователя и пароля.
3. Хранение персональных данных, документов в электронной форме, содержащих персональные данные, на персональных компьютерах работников осуществляется посредством использования папок с паролем и зашифрованных контейнеров.
4. Пароли определяются работниками самостоятельно с учетом следующих требований:
длина пароля должна быть не менее 8 символов;
в числе символов обязательно должны присутствовать минимум одна прописная буква, одна строчная буква, цифра и специальный символ ($, @, #, %, & и т.п.);
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, даты рождения и т.п.);
пароль не должен быть частоупотребляемым словом;
пароль не должен содержать ФИО, дату рождения, номер телефона, номер, автомобиля, название организации.
5. Запрещается:
передача паролей другим работникам;
передача паролей от работников Центра информационных технологий пользователю при помощи почтовых сообщений либо иным другим открытым способом через Интернет;
оставлять пароль, записанный на бумажном носителе, в доступном для посторонних лиц месте (в том числе на рабочем столе, экране монитора);
вводить пароль от учетной записи при посторонних лицах.
6. Плановая смена паролей должна проводится регулярно, не реже 1 раз в 90 дней.
При замене пароля новое значение должно отличаться от предыдущего не менее чем на четыре символа.
7. Внеплановая смена паролей производится в случаях:
смены рабочего места;
обнаружения признаков нарушения системы защиты персональных данных.
8. Целостность и доступность персональных данных в информационных системах (ресурсах) обеспечивается, в том числе, организацией резервного копирования обрабатываемых персональных данных в Институте, восстановлением системы защиты информационной системы (ресурса), обеспечением целостности программных средств системы защиты, физической охраной информационной системы (ресурса), в которой обрабатываются персональные данные, тестированием функций системы защиты.
9. Защита персональных компьютеров, в том числе информационных систем (ресурсов), от вредоносного программного обеспечения реализуется путем внедрения специального антивирусного программного обеспечения.
10. Установка и сопровождение, а также периодическое обновление баз вирусных сигнатур средств антивирусной защиты, выполняется работниками Центра информационных технологий.
11. Периодичность обновления баз вирусных сигнатур средств антивирусной защиты определяется периодичностью выхода официальных обновлений баз. В случае невозможности автоматического обновления баз вирусных сигнатур средств антивирусной защиты проверка наличия обновлений и обновления баз вирусных сигнатур средств антивирусной защиты осуществляется работниками Центра информационных технологий.
12. Любая информация, поступающая на компьютер по телекоммуникационным каналам, а также с иных материальных (съемных) носителей, подлежит обязательному антивирусному контролю с использованием антивирусных средств.
13. Разархивирование и антивирусный контроль такой информации осуществляются работником непосредственно после ее приема.
14. Антивирусный контроль отправляемой с компьютера (записываемой с него на иной материальный (съемный) носитель) информации осуществляется работников непосредственно перед ее архивированием и отправкой (записью на иной материальный (съемный) носитель).
15. Запрещается осуществлять подключение к рабочим персональным компьютерам мобильные телефоны, планшеты иные гаджеты.
16. При обработке персональных данных работникам запрещается:
предоставлять ПД устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо реализации законодательства;
16.1. оставлять без присмотра документы и другие носители информации, содержащие персональные данные, разрешать их фотографирование или копирование;
16.2. хранить документы и другие носители, содержащие персональные данные, в условиях, допускающих доступ к ним посторонних лиц;
16.3. передавать ключи от мест хранения персональных данных посторонним лицам;
16.4. выносить документы и другие носители информации, содержащие персональные данные, за пределы рабочего кабинета (помещений организации), если это не требуется для выполнения служебных обязанностей;
16.5. использовать в качестве черновиков документы, содержащие персональные данные;
16.6. производить уничтожение документов способом, позволяющим восстановить информацию, содержащую персональные данные;
16.7. обсуждать порядок доступа, места хранения, средства и методы защиты персональных данных с кем-либо, кроме ответственных за осуществление внутреннего контроля за обработкой персональных данных и лиц, ответственных за техническую и криптографическую защиту информации, иных должностных лиц, уполномоченных на обсуждение данных вопросов.
ПОРЯДОК ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ В ИНСТИТУТЕ
15. Доступ в Институте к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), предоставляется:
работникам Института, внештатным преподавателям (далее – работники), штатным преподавателем для выполнения должностных обязанностей в объеме, необходимом для надлежащего выполнения этих обязанностей.
16. Доступ к персональным данным имеют следующие работники:
директор Института (лицо, исполняющее его обязанности) – ко всем категориям персональных данных;
заместитель директора – ко всем категориям персональных данных;
лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных – ко всем категориям персональных данных в пределах исполнения должностных обязанностей;
начальник отдела правовой и кадровой работы – ко всем персональным данным, необходимым для исполнения своих должностных обязанностей;
специалисты отдела правовой и кадровой работы – к персональным данным работников и обучающихся в пределах, необходимых для исполнения своих должностных обязанностей;
работники предприятия общественного питания – к персональным данным своих работников (фамилия, имя, отчество (если таковое имеется), адрес регистрации, контактный номер телефона, антропометрические данные, сведения из медицинских справок работников предприятия общественного питания) в пределах, необходимых для исполнения своих должностных обязанностей;
работники административно-хозяйственного отдела – к персональным данным работников, студентов, посетителей Института, в том числе, представителей контрагентов, граждан, обратившихся в Институт с заявлениями (фамилия, имя, отчество (если таковое имеется), контактный номер телефона работников Института; фамилия, имя, отчество (если таковое имеется), контактный номер телефона студентов, которые паркуют свой личный автомобиль на территории Института), подрядчиков (фамилия, имя, отчество (если таковое имеется), адрес регистрации, номер свидетельства социального страхования) в пределах, необходимых для исполнения своих должностных обязанностей;
работники отдела экономики и материально-технического развития – к персональным данным работников Института (фамилия, имя, отчество (если таковое имеется), контактный номер телефона), к иным персональным данным работников Института в пределах, необходимых для осуществления должностных обязанностей (в частности при согласовании заявления на займ, материальную помощь для штатных работников, премий и доплат работникам Института);
работники управления учебно-методической работы – к персональным данным обучающихся (фамилия, имя, отчество (если таковое имеется), адрес регистрации (места жительства), сведения об успеваемости, фотография, дата рождения), законных представителей обучающихся (фамилия, имя, отчество (если таковое имеется), адрес регистрации (места жительства), контактный номер телефона) и работников Института (фамилия, имя, отчество (если таковое имеется), контактный номер телефона) в пределах, необходимых для выполнения должностных обязанностей и организации образовательного процесса;
работники отдела науки – к персональным данным аспирантов, соискателей (фамилия, имя, отчества (если таковое имеется), дата рождения, адрес регистрации (места жительства), сведения о гражданстве, половой принадлежности, об отношении к воинской обязанности, опыте работы, сведения об образовании, сведения из документа, удостоверяющего личность, идентификационный номер, контактный номер телефон, собственноручная подпись); исполнителей по договорам НИР (фамилия, имя, отчества (если таковое имеется), ученая степень, звание, место работы, электронная почта, телефон, сведения из документа, удостоверяющего личность, идентификационный номер, номер страхового свидетельства, адрес регистрации, дата рождения, сведения образовании) в пределах, необходимых для осуществления должностных обязанностей; авторов научных публикаций, участников научных мероприятий (фамилия, имя, отчества (если таковое имеется), ученая степень, звание, место работы, место учебы, электронная почта, контактный номер телефона);
работники отдела международного сотрудничества – к персональным данным иностранных студентов (фамилия, имя, отчества (если таковое имеется), сведения из документа, удостоверяющего личность; дата рождения; гражданство; пол и семейное положение; адрес проживания; фото; контактные данные; данные об образовании; информация о статусе обучающегося; информация о среднем балле; сведения медицинского характера) в пределах, необходимых для выполнения должностных обязанностей, осуществления взаимодействия с посольствами, консульствами, иностранными организациями, государственными учреждениями;
работники кафедры правовых и гуманитарных дисциплин – к персональным данным внештатных и штатных преподавателей (фамилия, имя, отчества (если таковое имеется), сведения из документа, удостоверяющего личность, диплом об образовании, номер мобильного телефона, адрес электронной почты), обучающихся (фамилия, имя, отчества (если таковое имеется), мобильный телефон, электронный адрес, номер группы, информация о спортивных достижения и принадлежность к спортивным клубам) в пределах, необходимых для выполнения должностных обязанностей;
работники кафедры маркетинга – к персональным данным обучающихся (фамилия, имя, отчества (если таковое имеется), контактный номер телефона, электронная почта), штатных и внештатных преподавателей (фамилия, имя, отчества (если таковое имеется), контактный номер телефона), иным персональным данных в пределах, необходимых для выполнения должностных обязанностей;
работники кафедры бизнес-администрирования – к персональным данным обучающихся, штатных и внештатных преподавателей (фамилия, имя, отчества (если таковое имеется), контактный номер телефона, электронная почта) в пределах, необходимых для выполнения должностных обязанностей;
работники кафедры финансов и менеджмента – к персональным данным обучающихся, штатных и внештатных преподавателей (фамилия, имя, отчества (если таковое имеется), контактный номер телефона, электронная почта) в пределах, необходимых для выполнения должностных обязанностей;
работники редакционно-издательского отдела – к персональным данным авторов научных материалов и статей (фамилия, имя, отчество (если таковое имеется), сведения из документа, удостоверяющего личность, адрес регистрации (места жительства), собственноручная подпись, контактный номер телефона, должность, место работы, ученое звание, адрес электронной почты; место учебы, курс) в пределах, необходимых для выполнения должностных обязанностей;
работники отдела маркетинга – к персональным данным работников, штатных и внештатных преподавателей, обучающихся в пределах, необходимых для выполнения должностных обязанностей;
работники Центра информационных технологий – к персональным данным работников, штатных и внештатных преподавателей, обучающихся в пределах, необходимых для выполнения должностных обязанностей;
работники кафедры логистики – к персональным данным работников, штатных и внештатных преподавателей, обучающихся в пределах, необходимых для выполнения должностных обязанностей;
работники кафедры цифровых систем и технологий – к персональным данным работников, штатных и внештатных преподавателей, обучающихся в пределах, необходимых для выполнения должностных обязанностей;
работники отдел воспитательной работы с молодежью – к персональным данным обучающихся (фамилия, имя, отчество (если таковое имеется), курс, группа, дата рождения, адрес проживания, итоговая успеваемость студентов по семестрам, сведения о беседах куратора со студентом и родителями, номер зачетной книги, сведения из документа, удостоверяющего личность, сведения из справки о составе семьи, сведения из справки о правах на объекты недвижимого имущества по всей территории Республики Беларусь, сведения из копии удостоверения ЧАЭС, иные сведения, предоставляющие льготы), законных- представителей обучающихся (фамилия, имя, отчество (если таковое имеется), сведения из документа, удостоверяющего личность, сведения из справки о составе семьи, иные персональные данные) в пределах, необходимых для выполнения должностных обязанностей;
работники кафедры инновационного управления – к персональным данным штатных и внештатных преподавателей (фамилия, имя, отчество (если таковое имеется), собственноручная подпись), обучающихся в пределах, необходимых для выполнения должностных обязанностей;
работники факультета переподготовки и повышения квалификации – к персональным данным обучающихся (фамилия, имя, отчества (если таковое имеется), дата рождения, адрес регистрации (места жительства), сведения о гражданстве, половой принадлежности, об отношении к воинской обязанности, опыте работы, сведения об образовании, сведения из документа, удостоверяющего личность, идентификационный номер, контактный номер телефон, собственноручная подпись); штатных и внештатных преподавателей (фамилия, имя, отчество (если таковое имеется), собственноручная подпись), обучающихся в пределах, необходимых для выполнения должностных обязанностей;
работники отдела дистанционного образования – к персональным данным обучающихся (фамилия, имя, отчество (если таковое имеется), номер зачетной книжки, электронная почта), штатных и внештатных преподавателей, работников (фамилия, имя, отчество (если таковое имеется), электронная почта) в пределах, необходимых для выполнения должностных обязанностей;
работники библиотеки – к персональным данным работников, штатных и внештатных преподавателей, обучающихся в пределах, необходимых для выполнения должностных обязанностей;
17. Работникам, непосредственно осуществляющим обработку персональных данных предоставляется доступ к персональным данным исходя из занимаемой должности.
Предоставление доступа к персональным данным в информационных ресурсах (системах), а также отзыв предоставленных прав осуществляется при помощи средств управления правами доступа к соответствующим ресурсам (системам).
18. Права доступа работника:
изменяются – в случаях перевода работника на другую должность;
прекращаются – в случае увольнения работника.
Доступ к персональным данным может быть также прекращен
на основании организационно-распорядительного документа (приказа, поручения, указания) или иного документа с резолюцией директора Института (лица, исполняющего его обязанности).
19. Работники, не имеющие доступа к персональным данным, исходя из занимаемой должности или выполняемых функций, могут получить временный доступ к персональным данным одной или нескольких категорий и целей их обработки для выполнения служебного задания на период времени и в объеме, которые необходимы для выполнения такого задания.
20. При определении периода времени и объема персональных данных для предоставления временного доступа к ним директор Института (лицо, исполняющее его обязанности) руководствуются содержанием служебного задания.
21. Работник или иное лицо, случайно или по иным причинам получившее доступ к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), не вправе изучать, изменять, удалять, копировать или иным способом использовать соответствующие документы или файлы.
ПОРЯДОК ДОСТУПА В ПОМЕЩЕНИЯ ИНСТИТУТА
22. Для помещений, в которых хранятся и обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащих персональные данные, а также исключается возможность несанкционированного или случайного посторонних лиц.
23. Режим обеспечения безопасности обеспечивается:
оснащением помещения пожарной сигнализацией;
обязательным запиранием помещений на ключ, даже при выходе из него в рабочее время;
отдельным хранением дубликатов ключей от помещений, шкафов и сейфов у руководителей структурных подразделений;
закрытием шкафов и сейфов, где хранятся носители информации, содержащие персональные данные, на ключ.
24. Доступ в помещения, в которых ведется обработка персональных данных, включая их хранение, предоставляется:
работникам, непосредственно осуществляющим обработку персональных данных;
лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных;
сотрудникам контролирующих и правоохранительных органов, пожарных и аварийных служб при наличии служебного удостоверения и с разрешения директора Института (лица, исполняющего обязанности) в сопровождении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
иным лицам в случае необходимости для решения вопросов, связанных с выполнением трудовых функций и (или) осуществлением полномочий в рамках договоров, заключенных Институтом с другими организациями или физическими лицами, по согласованию с директором Института (лицом, исполняющим его обязанности) или заместителем директора и в обязательном присутствии работника, непосредственно осуществляющего обработку персональных данных.
25. Во время пребывания в помещениях иных лиц, не являющихся работниками, непосредственно обрабатывающими персональные данные в Институте, обработку персональных данных:
необходимо прекратить;
либо предотвратить либо прекратить вывод на экран мониторов информации с персональными данными, если данные лица находятся в непосредственной близости от монитора, либо от материальных носителей персональных данных.
26. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании рабочего времени работники, имеющие право доступа в помещения, обязаны:
убрать бумажные носители персональных данных и иные материальные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;
отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
закрыть окна.
27. Уборка помещений, в которых ведется обработка персональных данных, и хранятся документы, содержащие персональные данные, должна производиться в присутствии работников, непосредственно осуществляющих обработку персональных данных.
При невозможности присутствия работников, непосредственно обрабатывающих персональные, в период уборки, в помещениях в открытом доступе не должны находится документы, содержащие персональные данные, персональные компьютеры должны быть выключены, съемные носители информации, содержащие персональные данные должны быть убраны в закрываемые шкафы или сейфы.
28. Установка программного обеспечения и (или) его обновление, нового оборудования осуществляется работниками Центра информационных технологий и в присутствии работника, непосредственного осуществляющего обработку персональных данных.
ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ АБИТУРИЕНТОВ, ЛИЦ, ПОСТУПАЮЩИХ В АСПИРАНТУРУ, ДОКТОРАНТУРУ
29. Правовыми основаниями обработки персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру, являются:
заявление, которое подается указанными лицами на имя ректора БГУ, в соответствии с абзацем шестнадцатым статьи 6 Закона;
обязанность Института по запросу документов, содержащих персональные данные указанных лиц, установленная Правилами приема лиц для получения высшего образования I ступени, утвержденными Указом Президента Республики Беларусь от 07.02.2006 № 80, в соответствии с абзацем двадцать первым статьи 6 и абзацем семнадцатым пункта 2 статьи 8 Закона.
30. Обработка персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру, осуществляется для целей:
организации приема абитуриентов, лиц, поступающих в аспирантуру, докторантуру, для освоения соответствующей образовательной программы;
организации вступительных испытаний;
принятия решении о зачислении (отказе в зачислении) указанных лиц в Институт для дальнейшего освоения образовательно программы.
31. Обработка персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру, осуществляется автоматизированным и неавтоматизированным способом.
32. Неавтоматизированным способом обработка персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру осуществляется посредством работы с документами на бумажных носителях.
33. Автоматизированным способом обработка персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру, осуществляется с использованием электронной базы данных абитуриентов БГУ.
34. Работа с электронной базой данных абитуриентов БГУ осуществляется на принципе разграничения прав доступа пользователей.
35. Доступ к персональным данным абитуриентов, лиц, поступающих в аспирантуру, докторантуру, содержащимся в документах на бумажных носителях, имеют члены приемной комиссии.
36. В состав приемной комиссии могут входить:
заместители директора;
профессор кафедры финансов и менеджмента;
начальник отдела воспитательной работы с молодежью;
специалист по учебной работе первой категории;
старший преподаватель кафедры бизнес-администрирования;
ведущий специалист по учебной и научной работе факультета повышения квалификации и переподготовки;
педагог-психолог отдела воспитательной работы с молодежью;
методист высшей категории управления учебно-методической работы;
ведущий библиограф;
заместитель начальника центра информационных технологий;
инженер-программист 1 категории центра информационных технологий.
37. В период работы приемной комиссии к персональным данным абитуриентов, лиц, поступающих в аспирантуру, докторантуру, доступ может предоставляться в том числе:
членам технического секретариата Института;
Председателю приемной комиссии БГУ;
ответственному секретарю Приемной комиссии БГУ;
Председателю комиссии по контролю.
38. Доступ к персональным данным, содержащимся в электронной базе данных абитуриентов БГУ, имеют:
технический секретарь секретариата Института;
члены секретариата приемной комиссии БГУ.
39. Предоставление доступа к персональным данным абитуриентов, лиц, поступающих в аспирантуру, докторантуру, лицам, указанным в пункте 37, осуществляется только в присутствии членом приёмной комиссии.
40. Работникам, имеющим доступ к персональным данным абитуриентов, лиц, поступающих в аспирантуру, докторантуру, а также работникам, непосредственно обрабатывающим персональные данные, запрещается:
использовать персональные данные в целях, не связанных с целями, указанными в пункте 30, а также в личных целях;
копировать персональные данные для целей, не связанных с целями, указанными в пункте 30, а также в личных целях;
изменять, удалять персональные данные из информационных систем (ресурсов), указанных в пункте 30, без предварительного уведомления ответственного за осуществление внутреннего контроля за обработкой персональных данных;
распространять персональные данные абитуриентов, лиц, поступающих в аспирантуру, докторантуру.
41. Предоставление персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру, третьим лица осуществляется с согласия указанных лиц, за исключением случаев, предусмотренных законодательством.
42. Работники, непосредственно обрабатывающие персональные данные абитуриентов, лиц, поступающих в аспирантуру, докторантуру, в случае предоставления персональных данных третьим лицам обязаны в течение 3 (трех) рабочих дней сообщать об этом ответственному за осуществление внутреннего контроля за обработкой персональных данных.
43. Хранение персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру, содержащихся в документах на бумажных носителях, в период работы приемной комиссии осуществляется в папках в железных шкафах, закрываемых на ключ.
44. Хранение персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру, содержащихся в документах на бумажных носителях, и зачисленных для освоения образовательной программы осуществляется в студенческом отделе кадров в закрываемых на ключ шкафах.
45. Срок хранения персональных данных не поступивших абитуриентов составляет 1 год (пункт 848 Перечня).
Срок хранения персональных данных лиц, поступающих в аспирантуру, докторантуру и не поступивших составляет 1 год (пункт 952 Перечня).
Хранение персональных данных абитуриентов, лиц, поступающих в аспирантуру, докторантуру, зачисленных для освоения образовательной программы осуществляется в личных делах в течение 75 лет.
ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБУЧАЮЩИХСЯ, ВЫПУСКНИКОВ
46.Правовыми основаниями обработки персональных данных обучающихся являются:
договор в сфере образования (на основании абзаца пятнадцатого статьи 6 Закона);
обязательства, установленные законодательными актами (на основании абзаца двадцатого статьи 6 Закона);
осуществление административных процедур (абзац двенадцатый пункта 2 статьи 8 Закона);
согласие (основании пункта 3 статьи 4 Закона).
47. Правовыми основаниями обработки персональных данных выпускников являются:
исполнение обязательств, установленных законодательными актами (на основании абзаца двадцатого статьи 6 Закона);
осуществление административных процедур (абзац двенадцатый пункта 2 статьи 8 Закона);
согласие (основании пункта 3 статьи 4 Закона).
48. Обработка персональных данных обучающихся осуществляется для целей:
заключения договора в сфере образования;
реализации образовательных программ;
исполнения обязательств, предусмотренных законодательством об образовании и иными актами законодательства;
иных целей указанных в Политике обработки персональных данных абитуриентов, обучающихся и их законных представителей.
49. Обработка персональных данных выпускников осуществляется для целей:
организации распределения, перераспределения, направления на работу, последующего направления на работу;
контроля за трудоустройством выпускников;
осуществления поддержки выпускников.
50. Обработка персональных данных обучающихся, выпускников осуществляется автоматизированным и неавтоматизированным способом.
51. Неавтоматизированным способом обработка персональных данных обучающихся, выпускников осуществляется посредством работы с документами на бумажных носителях.
52. Автоматизированным способом обработка персональных данных обучающихся, выпускников осуществляется с использованием:
Информационной системы «Деканат»;
Образовательного портала Moodle;
IT-системы (рейтинговой системы оценки знаний студентов).
53. Работа с информационными системами, указанными в пункте 52, осуществляется на принципе разграничения прав доступа пользователей.
54. Доступ к персональным данным обучающихся имеют:
директор Института (лицо, исполняющее его обязанности);
заместитель директора;
начальник отдела правовой и кадровой работы;
специалисты отдела правовой и кадровой работы;
работники административно-хозяйственного отдела;
работники отдела экономики и материально-технического развития;
работники управления учебно-методической работы;
работники отдела науки;
работники отдела международного сотрудничества;
работники кафедры правовых и гуманитарных дисциплин;
работники кафедры маркетинга;
работники кафедры бизнес-администрирования;
работники кафедры финансов и менеджмента;
работники редакционно-издательского отдела;
работники отдела маркетинга;
работники Центра информационных технологий;
работники кафедры;
работники кафедры цифровых систем и технологий;
работники отдел воспитательной работы с молодежью;
работники кафедры инновационного управления;
работники факультета переподготовки и повышения квалификации;
работники отдела дистанционного образования;
работники библиотеки;
работники бухгалтерии.
55. Работникам, имеющим доступ к персональным данным обучающихся, выпускников, а также работникам, непосредственно обрабатывающим персональные данные, запрещается:
использовать персональные данные в целях, не связанных с целями, указанными в пунктах 48 и 49, в Политике обработки персональных данных абитуриентов, обучающихся и их законных представителей, а также в личных целях;
копировать персональные данные для целей, не связанных с целями, указанными в пунктах 48 и 49, в Политике обработки персональных данных абитуриентов, обучающихся и их законных представителей, а также в личных целях;
изменять, удалять персональные данные из информационных систем (ресурсов), указанных в пунктах 48 и 49, в Политике обработки персональных данных абитуриентов, обучающихся и их законных представителей, без предварительного уведомления ответственного за осуществление внутреннего контроля за обработкой персональных данных;
распространять персональные данные обучающихся и выпускников.
56. Предоставление персональных данных обучающихся и выпускников третьим лица осуществляется с согласия указанных лиц, за исключением случаев, предусмотренных законодательством, в том числе:
предоставление в ГИАЦ Министерства образования (в соответствии с обязанностями, возложеннымиДекретом Президента Республики Беларусь от 02.04.2015 № 3 «О содействии занятости населения»);
предоставление в военные комиссариаты (для исполнения обязательств, предусмотренных законодательством в сфере исполнения воинской обязанности);
комитеты по образованию;
в банк (для зачисления стипендий и иных выплат).
57. Работники, непосредственно обрабатывающие персональные данные обучающихся, выпускников, в случае предоставления персональных данных третьим лицам обязаны в течение 3 (трех) рабочих дней сообщать об этом ответственному за осуществление внутреннего контроля за обработкой персональных данных.
58. Хранение персональных данных обучающихся и выпускников, содержащихся в документах на бумажных носителях, осуществляется в железных шкафах, закрываемых на ключ:
в отделе кадровой и правовой работы – персональные данные студентов;
в отделе международного сотрудничества – персональные данные иностранных студентов;
в отделе магистратуры – персональные данные магистрантов;
в отделе науки – персональные данные аспирантов;
на факультете повышения квалификации и переподготовки – персональные данные слушателей факультета повышения квалификации и переподготовки.
59. Срок хранения персональных данных обучающихся и выпускников установлен Политикой обработки персональных данных абитуриентов, обучающихся и их законных представителей.
ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ЗАКОННЫХ ПРЕДСТАВИТЕЛЕЙ АБИТУРИЕНТОВ, ОБУЧАЮЩИХСЯ
60. Правовыми основаниями обработки персональных данных законных представителей абитуриентов, обучающихся (далее – представители) являются:
договор в сфере образования (на основании абзаца пятнадцатого статьи 6 Закона);
обязательства, установленные законодательными актами (на основании абзаца двадцатого статьи 6 Закона);
осуществление административных процедур (абзац двенадцатый пункта 2 статьи 8 Закона);
согласие (основании пункта 3 статьи 4 Закона).
61. Обработка персональных данных представителей осуществляется для целей:
заключения договора в сфере образования (в случае, если обучающийся является не совершеннолетним лицом);
осуществления учета детей, находящихся в социально-опасном положении, в соответствии с обязанностями, возложенными на Институт статьей 282 Кодекса Республики Беларусь об образовании;
постановки гражданина на учет нуждающихся для последующего предоставления жилого помещения в общежитии в соответствии с порядком, предусмотренным пунктом 9 статьи 116 Жилищного кодекса Республики Беларусь;
предоставления абитуриентам, обучающимся, академического отпуска, льгот.
62. Обработка персональных данных представителей осуществляется автоматизированным и неавтоматизированным способом.
63. Доступ к персональным данным представителей имеют:
директор Института (лицо, исполняющее его обязанности);
заместитель директора;
начальник отдела правовой и кадровой работы;
специалисты отдела правовой и кадровой работы;
работники отдела воспитательной работы с молодежью;
работники бухгалтерии.
64. Работникам, имеющим доступ к персональным данным представителей, а также работникам, непосредственно обрабатывающим персональные данные, запрещается:
использовать персональные данные в целях, не связанных с целями, указанными в пункте 61, а также в личных целях;
копировать персональные данные для целей, не связанных с целями, указанными в пункте 61, а также в личных целях;
изменять, удалять персональные данные из информационных систем (ресурсов), указанными в пункте 61, без предварительного уведомления ответственного за осуществление внутреннего контроля за обработкой персональных данных;
распространять персональные данные представителей.
65. Предоставление персональных данных представителей третьим лица осуществляется с согласия указанных лиц, за исключением случаев, предусмотренных законодательством.
66. Работники, непосредственно обрабатывающие персональные данные представителей, в случае предоставления персональных данных третьим лицам обязаны в течение 3 (трех) рабочих дней сообщать об этом ответственному за осуществление внутреннего контроля за обработкой персональных данных.
67. Сроки хранения персональных данных представителей установлены Политикой обработки персональных данных абитуриентов, обучающихся и их законных представителей.
ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРЕДСТАВИТЕЛЕЙ КОНТРАГЕНТОВ, ГРАЖДАН, ЯВЛЯЮЩИХСЯ СТОРОНОЙ ПО ГРАЖДАНСКО-ПРАВОВОМУ ДОГОВОРУ
68. Правовыми основаниями обработки персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, является договор в соответствии с абзацем пятнадцатым статьи 6 Закона.
69. Обработка персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, осуществляется для целей:
подготовки договора;
заключения договора;
досрочного расторжения договора;
исполнения обязанностей и реализации прав, предусмотренных договором;
исполнения обязательств, предусмотренных законодательными актами;
проведения контрольных и надзорных мероприятий.
70. Обработка персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, для целей, не связанных с целями, указанными в пункте 69 запрещается.
71. Подготовка всем форм договоров на оказание образовательных услуг осуществляется начальником отдела кадровой и правовой работы, юрисконсультом все совместно с главным бухгалтером.
72. Обработка персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, осуществляется автоматизированным и неавтоматизированным способом.
73. Неавтоматизированным способом обработка персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, осуществляется посредством работы с документами на бумажных носителях.
74. Автоматизированным способом обработка персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, осуществляется с использованием следующих информационных систем (ресурсов):
1С/Зарплата и управление персоналом для Беларуси;
1С –Предприятие 8.2;
Деканат.
75. Обработка персональных данных в названных в пункте 74 информационных системах (ресурсах) осуществляется на основании разграничения прав доступа пользователей.
76. Доступ к персональным данным представителей контрагентов имеют:
начальник отдела кадровой и правовой работы;
юрисконсульт;
ведущий специалист по кадрам;
работники бухгалтерии;
заведующие кафедрами (к персональным данным, содержащимся в договорах подряда с совместителями);
декан факультета повышения квалификации и переподготовки (к персональным данным, содержащимся в договорах подряда с внешними совместителями);
заместитель декана факультета повышения квалификации и переподготовки (к персональным данным, содержащимся в договорах подряда с внешними совместителями);
методисты кафедр и специалисты по учебной работе, работающие на кафедре (к персональным данным, содержащимся в договорах подряда с внешними совместителями при подготовке договоров подряда с совместителями, актов выполненных работ);
начальник отдела международного сотрудничества (в рамках заключаемых отделом международного сотрудничества договоров);
специалисты по международным коммуникациям (в рамках заключаемых отделом международного сотрудничества договоров (подготовки таких договоров);
начальник отдела магистратуры (в рамках заключаемых отделом магистратуры договоров);
специалисты по образовательным программам, специалисты по работе с магистрантами (в рамках заключаемых отделом магистратуры договоров (подготовки таких договоров);
заведующий библиотекой (в рамках заключаемых библиотекой договоров);
ведущий библиограф (в рамках заключаемых библиотекой договоров (подготовки таких договоров);
начальник Центра информационных технологий (в рамках заключаемых договоров с поставщиками мобильной связи, услуг по разработке и сопровождению интернет-сайта);
начальник отдела маркетинга;
заместитель начальник отдела маркетинга (в рамках заключаемых договоров с поставщиками услуг по разработке интернет-сайта Института, рекламных услуг и т.д. (подготовки таких договоров);
начальник редакционно-издательского отдела (в рамках заключаемых редакционно-издательским отделом договоров подряда);
начальник отдела науки (в рамках заключаемых отделом науки договоров на НИР, НИРС);
заместитель начальник отдела науки (в рамках заключаемых отделом науки договоров на НИР, НИРС (подготовки таких договоров);
директор предприятия общественного питания (в рамках заключаемых предприятием общественного питания договоров поставки, купли-продажи и т.д. (подготовки таких договоров);
начальник управления учебно-методической работы (в рамках заключаемых управлением договоров (подготовки таких договоров);
заместитель начальника управления учебно-методической работы (в рамках заключаемых предприятием общественного питания договоров поставки, купли-продажи и т.д. (подготовки таких договоров);
методисты (в рамках подготовки договоров подряда по поручению непосредственного руководителя);
начальник административно-хозяйственного отдела (в рамках заключаемых отделом договоров (подготовки таких договоров);
заместитель директора по административно-хозяйственной работе (в рамках заключаемых отделом договоров (подготовки таких договоров).
77. Работникам, имеющим доступ к персональным данным контрагентов, граждан, являющихся стороной по гражданско-правовому договору, а также работникам, непосредственно обрабатывающим персональные данные, запрещается:
использовать персональные данные в целях, не связанных с целями, указанными в пункте 69, а также в личных целях;
копировать персональные данные для целей, не связанных с целями, указанными в пункте 69, а также в личных целях;
изменять, удалять персональные данные из информационных систем (ресурсов), указанных в пункте 69, без предварительного уведомления ответственного за осуществление внутреннего контроля за обработкой персональных данных.
78. Персональные данные представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, не распространяются.
79. Предоставление персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, третьим лица осуществляется с согласия указанных лиц, за исключением случаев, предусмотренных законодательством, в том числе:
в банк только (договора с иностранными контрагентами);
в АГИМ.
80. Работники, непосредственно обрабатывающие персональные данные представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, в случае предоставления персональных данных третьим лицам обязаны в течение 3 (трех) рабочих дней сообщать об этом ответственному за осуществление внутреннего контроля за обработкой персональных данных.
81. Хранение персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, содержащихся в документах на бумажных носителях, осуществляется в:
Бухгалтерии;
ЦИТ;
административно-хозяйственном отделе;
отделе международных связей.
82. Хранение персональных данных представителей контрагентов, граждан, являющихся стороной по гражданско-правовому договору, содержащихся в документах на бумажных носителях осуществляется в закрываемых на ключ шкафах.
83. Срок хранения персональных данных граждан, являющихся стороной по гражданско-правовому договору, составляет 3 года (10 лет со дня проведения последней налоговой проверки).
Срок хранения персональных данных представителей контрагентов составляет 3 года (10 лет со дня проведения последней налоговой проверки).
ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
84. Правовые основания и цели обработки персональных данных работников определены в Политике обработки персональных данных работников.
85. Доступ к персональным данным работников имеют:
Директор Института (лицо, исполняющее его обязанности) (к персональным данным всех работников);
Заместитель директора (к персональным данным всех работников);
Начальник отдела правовой и кадровой работы (к персональным данным всех работников);
Специалисты отдела правовой и кадровой работы;
Работники бухгалтерии;
Руководитель предприятия общественного питания (только к персональным данным своих работников);
Руководитель и работники административно-хозяйственного отдела;
Руководитель и работники отдела экономики и материально-технического развития (только к персональным данным своих работников);
Руководитель и работники управления учебно-методической работы (только к персональным данным своих работников);
Руководитель и работники отдела науки (только к персональным данным своих работников);
Руководитель и работники отдела международного сотрудничества (только к персональным данным своих работников);
Руководитель и работники центра информационных технологий;
Руководитель и работники кафедры логистики (только к персональным данным своих работников);
Руководитель и работники кафедры цифровых систем и технологий (только к персональным данным своих работников);
Руководитель и работники кафедры правовых и гуманитарных дисциплин (только к персональным данным своих работников);
Руководитель и работники кафедры маркетинга (только к персональным данным своих работников);
Руководитель и работники кафедры бизнес-администрирования (только к персональным данным своих работников);
Руководитель и работники кафедры финансов и менеджмента (только к персональным данным своих работников);
Руководитель и работники редакционно-издательского отдела (к персональным данным своих работников, персональным данным работников, выступающих в качестве авторов публикаций);
Руководитель и работники отдела маркетинга (только к персональным данным своих работников);
Руководитель и работники библиотеки (к персональным данным своих работников, персональным данным иных работников, выступающих в качестве пользователей библиотеки).
86. Порядок доступа к персональным данным работников устанавливается в соответствии с пунктами 15-21 настоящего Положения.
87. Предоставление персональных данных работников третьим лицам осуществляется с согласия указанных лиц, за исключением случаев, предусмотренных законодательством, в том числе:
87.1. Фонд социальной защиты населения – в рамках возложенной на Институт обязанности представлять в установленном Правилами порядке в органы, осуществляющие персонифицированный учет, достоверные сведения, необходимые для ведения персонифицированного учета согласно части второй статьи 10 Закона Республики Беларусь от 6 января 1999 г. № 230-З «Об индивидуальном (персонифицированном) учете в системе государственного социального страхования». Перечень персональных данных, передаваемых в Фонд социальной защиты населения установлен в статье 6 названного Закона;
87.2. ОАО «Белинвестбанк» - для зачисления заработной платы передаются следующие персональные данные работников: фамилия, имя, отчество (если таковое имеется), банковские реквизиты (расчетный счет, БИК), сумма заработной платы для зачисления;
87.3. 1-ю центральную районную клиническую поликлинику Центрального района г. Минска – в рамках прохождения обязательных медицинских осмотров, вакцинации работников предоставляются следующие персональные данные работников: фамилия, имя, отчество (если таковое имеется), сведения о месте работы, сведения о занимаемой должности, адрес регистрации (места жительства);
87.4. Республиканскую клиническая стоматологическая поликлинику (передаются фамилия, имя, отчество (если таковое имеется) работников);
87.5. БГУ;
87.6. Белорусский профессиональный союз работников образования и науки Республики Беларусь (фамилия, имя, отчество (если таковое), сведения о членстве в профсоюзе, сведения о занимаемой должности в профсоюзном комитете, адрес регистрации (места жительства).
88. Предоставление персональных данных между работниками разных структурных подразделений в рамках установленного пунктами 15-21 порядка доступа к персональным данным в Институте осуществляется без согласия работников.
89. Персональные данные работников не распространяются.
90. Работники, непосредственно обрабатывающие персональные данные работников, в случае предоставления персональных данных третьим лицам обязаны в течение 3 (трех) рабочих дней сообщать об этом ответственному за осуществление внутреннего контроля за обработкой персональных данных.
91. Сроки хранения персональных данных работников установлен Политикой обработки персональных данных работников.
ПОРЯДОК ВЕДЕНИЯ И ЗАПОЛНЕНИЯ РЕЕСТРА ОБРАБОТОК ПЕРСОНАЛЬНЫХ ДАННЫХ
92. Для целей упорядочивания обработок персональных данных, контроля за сроками обработки персональных данных, соотношения целей обработки персональных данных и правовых оснований обработки персональных данных в Институте ведутся:
92.1. Реестр обработок персональных данных (далее – Реестр) по форме согласно приложению 1;
92.2. Реестр предоставления персональных данных третьим лицам (далее – Реестр предоставления) по форме согласно приложению 2.
93. В Реестр вносятся следующие сведения:
Наименование категории субъекта персональных данных;
Цель обработки персональных данных;
Правовое основание обработки персональных данных;
Категории обрабатываемых персональных данных;
Срок хранения персональных данных;
Лицо (подразделение), непосредственно осуществляющее обработку персональных данных.
94. Правовое основание обработки персональных данных обязательно должно содержать ссылку на положения статей 4, 6, 8 и 9 Закона.
95. В Реестр предоставления вносятся следующие сведения:
Наименование субъекта персональных данных;
Наименование категории субъекта персональных данных;
Категории предоставляемых персональных данных;
Носитель персональных данных (при наличии)
Лицо, которому персональные данные были предоставлены;
Контактные данные лица, которому персональные данные были предоставлены;
Цель предоставления персональных данных;
Правовое основание предоставления персональных данных;
Дата предоставления персональных данных.
96. Предоставление персональных данных между структурными подразделениями Института не вносятся в Реестр предоставления.
97. Ведение Реестра и Реестра предоставления обеспечивается ответственным за осуществление внутреннего контроля за обработкой персональных данных в Институте.
98. При необходимости ответственным за осуществление внутреннего контроля за обработкой персональных данных в Институте могут вносится изменения в формы Реестра и Реестра предоставления.
99. Сведения для Реестра и Реестра предоставления предоставляются руководителями структурных подразделений по требованию ответственного за осуществление внутреннего контроля за обработкой персональных данных в Институте в течение 5 (пяти) рабочих дней со дня требования о предоставлении информации для названных реестров.
100. Работники, непосредственно осуществляющие обработку персональных данных, обязаны в течение 3 (трех) рабочих дней со дня предоставления персональных данных третьим лицам сообщать о таком предоставлении ответственному за осуществление внутреннего контроля за обработкой персональных данных в Институте.
101. Пересмотр Реестр и Реестра предоставления с целью его актуализации производится ответственным за осуществление внутреннего контроля за обработкой персональных данных в Институте по мере необходимости, но не реже одного раза в год.
ПОРЯДОК ПРЕКРАЩЕНИЯ ОБРАБОТКИ
102. Обработка персональных данных в Институте прекращается:
по достижении цели обработки персональных данных, указанных Политиках обработки персональных данных в Институте;
при обнаружении неправомерной обработки персональных данных;
по требованию Национального центра защиты персональных данных Республики Беларусь;
по требованию субъекта персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных;
в случае истечения сроков хранения персональных данных;
в случае прекращения деятельности Института.
103. Прекращение обработки персональных данных осуществляется работником (лицом), непосредственно осуществляющим обработку персональных данных.
104. После прекращения обработки персональных данных в случае достижения целей обработки, отзыва субъекта персональных данных согласия на обработку персональных данных, по требованию субъекта или в случае прекращения деятельности Института персональные данные подлежат удалению, уничтожению или блокированию (в случае невозможности удаления или уничтожения).
105. В случае прекращения обработки персональных данных при обнаружении неправомерной обработки персональных данных по требованию ответственного за осуществление внутреннего контроля за обработкой персональных данных в Институте обработка персональных данных приостанавливается работником, непосредственно осуществляющим обработку персональных данных, до проведения расследования при наличии нарушения системы защиты персональных данных.
Возобновление обработки персональных данных в случае прекращения обработки персональных данных при обнаружении неправомерной обработки персональных данных может быть осуществлено только после согласования с директором Института (лицом, исполняющим его обязанности).
106. В случае прекращения обработки персональных данных по требованию Национального центра защиты персональных данных Республики Беларусь обработка персональных данных приостанавливается до выполнения всех требований названного Центра и (или) устранения выявленных нарушений.
107. Если прекращение обработки персональных данных осуществлено на основании заявления субъекта персональных данных с требованием о прекращении обработки его персональных данных, об отзыве согласия на обработку персональных, то лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных в Институте, после рассмотрения такого заявления принимает решение о мерах по удалению, уничтожению или блокированию персональных данных в пятнадцатидневный срок после получения заявления субъекта персональных данных.
О своем решении и необходимых мерах по удалению, уничтожению или блокированию персональных данных ответственный за осуществление внутреннего контроля за обработкой персональных данных в Институте сообщает работнику, непосредственно осуществляющему обработку персональных данных.
108. Прекращение обработки персональных данных по достижении целей обработки осуществляется не позднее 3 (трех) календарных со дня достижения цели обработки или окончания срока хранения персональных данных. Персональные данные удаляются (уничтожаются), при невозможности – блокируются.
109. По результатам прекращения обработки персональных данных лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, составляется акт по форме согласно приложению 3, который подписывается лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, работником, непосредственно осуществляющим обработку персональных данных и директором Института (лицом, исполняющим его обязанности). При необходимости акт может подписываться иными лицами.
110. При отсутствии технической возможности удаления или уничтожения персональных данных лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, исходя из характера персональных данных, в тот же срок принимаются меры по недопущению их дальнейшей обработки, включая блокирование (например, путем создания на сервере архивного (с паролем) файла документа в электронной форме).
111. Документы на бумажных, иных материальных носителях, содержащие персональные данные, после прекращения обработки персональных данных уничтожаются с использованием шредера.
112. В случае, если документы на бумажных, иных материальных носителях, содержащие персональные данные, содержат, в том числе, иную информацию, необходимую для осуществления деятельности Института, лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, производится удаление или обезличивание части персональных данных, если это допускается материальным носителем, способом, исключающем дальнейшую обработку этой части персональных данных, с сохранением возможности обработки иной части персональных данных.
ПОРЯДОК ВНУТРЕННЕГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
113. Внутренний контроль за обработкой персональных данных в Институте (далее – внутренний контроль) осуществляется лицом, ответственным за осуществление внутреннего контроля, в форме:
плановых проверок соблюдения работниками законодательства о персональных данных, требований настоящего Положения и иных локальных правовых актов в сфере защиты персональных данных (далее – плановые проверки);
внеплановых проверок соблюдения работниками, непосредственно осуществляющими обработку персональных данных, законодательства о персональных данных, требований настоящего Положения и иных локальных правовых актов в сфере защиты персональных данных (далее – внеплановые проверки);
организации и проведения проверки знаний работников по вопросам обработки и защиты персональных данных.
114. План внутреннего контроля (далее – план) на очередной год формируется лицом, ответственным за осуществление внутреннего контроля, до 25 декабря текущего года, утверждается директором Института (лицом, исполняющим его обязанности) и доводится до сведения работников.
115. В план включаются сведения:
о проведении плановых проверок;
о проведении проверки знаний работников по вопросам обработки и защиты персональных данных;
о проведении обучения работников по вопросам обеспечения защиты персональных данных;
о направлении работников на повышение квалификации по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.
116. Внеплановая проверка проводится по решению директора Института (лица, исполняющего его обязанности), принимаемому, в том числе по предложению лица, ответственного за осуществление внутреннего контроля, в случае:
наличия обращений граждан, в том числе индивидуальных предпринимателей, юридических лиц и их представителей, свидетельствующих о совершаемом (совершенном) нарушении требований законодательства о персональных данных при обработке персональных данных в Институте;
обнаружения несоблюдения работниками требований по обработке персональных данных, предусмотренных законодательством о персональных данных, Политиками обработки персональных данных, настоящим Положением, иными локальными правовыми актами.
117. При проведении проверки лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, оцениваются:
соответствие обработки персональных данных заявленным целям;
избыточность персональных данных по отношению к заявленным целям обработки;
правовые основания обработки персональных данных;
своевременность удаления (уничтожения) персональных данных, срок хранения которых истек;
соблюдение порядка доступа к персональным компьютерам работников;
соблюдение порядка доступа в помещения, в которых осуществляется обработка персональных данных, в том числе их хранение;
соблюдение мер по хранению персональных данных, обрабатываемых в информационных системах (ресурсах);
соблюдение мер по хранению персональных данных, содержащихся в документах на бумажных носителях.
118. По результатам плановой или внеплановой проверки составляется акт в двух экземплярах, в котором должны быть отражены:
соответствие (несоответствие) принятых проверяемым работником мер по обеспечению им защиты персональных данных требованиям законодательства о персональных данных, настоящего Положения и иных локальных правовых актов;
экспертная оценка лица, ответственного за осуществление внутреннего контроля, о достаточности принятых проверяемым работником мер для защиты персональных данных;
выявленные нарушения законодательства о персональных данных либо вывод об отсутствии таких нарушений.
119. В случае выявления нарушений законодательства о персональных данных, требований настоящего Положения и иных локальных правовых актов, обработка персональных данных незамедлительно прекращается посредством ее приостановления по требованию лица, ответственного за осуществление внутреннего контроля, о чем сообщается директору Института (лицу, исполняющему его обязанности) в день прекращения обработки персональных данных.
Возобновление обработки персональных данных может быть осуществлено только по письменному распоряжению директора Института (лица, исполняющего его обязанности).
120. Акт плановой или внеплановой проверки составляется в течение пяти рабочих дней со дня ее окончания и подписывается лицом, ответственным за осуществление внутреннего контроля, и передается директору Института (лицу, исполняющему его обязанности).
121. В случае выявления по результатам плановой или внеплановой проверки нарушений законодательства о персональных данных, требований настоящего Положения, иных локальных правовых актов, отраженных в акте плановой или внеплановой проверки, в течение трех рабочих дней со дня окончания проверки приказом директора Института (лица, исполняющего его обязанности):
определяются конкретные меры об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием действий, которые должны быть приостановлены (прекращены) и устанавливается срок такого устранения и (или) приостановления (прекращения), который не может превышать одного месяца;
решается вопрос о привлечении лиц, виновных в нарушении законодательства о защите персональных данных, к ответственности в соответствии с законодательными актами;
определяются лица, осуществляющие контроль за реализацией предусмотренных в приказе мер.
122. Организация и проведение проверки знаний работников по вопросам обработки и защиты персональных данных осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных.
Проверка знаний работников по вопросам обработки и защиты персональных данных осуществляется один раз в три года.
123. Проверке знаний работников по вопросам обработки и защиты персональных данных должно предшествовать обучение работников по вопросам обработки и защиты персональных данных.
Обучение работников по вопросам обработки и защиты персональных данных может быть организовано в форме лекций, просмотра обучающих видео-программ и т.д.
124. Формы и методы проверки знаний работников по вопросам обработки и защиты персональных данных определяются лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, самостоятельно.
125. По результатам проведения проверки знаний работников по вопросам обработки и защиты персональных данных составляется акт проведения проверки знаний, в котором отражаются сведения о:
дате проведения проверки знаний по вопросам обработки и защиты персональных данных;
форме проведения проверки знаний по вопросам обработки и защиты персональных данных;
работниках, прошедших проверку знаний по вопросам обработки и защиты персональных данных;
работниках, не прошедших проверку знаний по вопросам обработки и защиты персональных данных;
сроках повторной проверки знаний работников, не прошедших проверку знаний по вопросам обработки и защиты персональных данных.
126. Акт подписывается лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, директором Института (лицом, исполняющим его обязанности), работниками, участвовавшими в проверке знаний по вопросам обработки и защиты персональных данных.
РЕАГИРОВАНИЕ НА НАРУШЕНИЕ СИСТЕМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
127. О нарушении системы защиты персональных данных в информационных системах (ресурсах) Института может свидетельствовать следующее:
признаки наличия на компьютере вредоносной программы;
обнаружение попыток несанкционированного доступа к компьютеру, программному обеспечению, локальной сети, информационным системам (ресурсам), базам и банкам данных, содержащим персональные данные;
уведомление антивирусного средства о нарушении информационной безопасности на компьютере;
уведомление об отклонениях в работе установленных на компьютере системных или прикладных программ;
наличие файлов с нечитаемыми названиями;
неоднократные неудачные попытки авторизации на компьютере;
невозможность аутентификации в информационной системе (ресурсе).
128. О нарушении системы защиты персональных данных, содержащихся в документах на бумажных носителях и (или) иных материальных, может свидетельствовать следующее:
несоблюдение правил хранения персональных данных, содержащихся в документах на бумажном и (или) ином материальном носителе;
визуальные признаки повреждения места хранения персональных данных, содержащихся в документах на бумажных и (или) иных материальных носителях;
визуальные признаки нарушения доступа в помещения, где осуществляется обработка персональных данных, в том числе их хранение.
129. При возникновении нарушения системы защиты персональных данных работник незамедлительно информирует об этом директора Института (лицо, исполняющее его обязанности), лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, которыми в соответствии, в том числе с привлечением, при необходимости иных лиц:
проводится оценка риска и последствий нарушения системы защиты персональных данных;
вырабатывается стратегия реагирования на нарушение системы защиты персональных данных;
принимаются все возможные меры по устранению (при невозможности устранения – минимизации) последствий нарушений системы защиты персональных данных и исключению подобного в дальнейшем;
производится документирование нарушения системы защиты персональных данных с составлением заключения по факту его возникновения.
130. В течение трех рабочих дней после обнаружения нарушения системы защиты персональных данных Института письменным уведомлением сообщает о нарушении системы защиты персональных данных в Национальный центр защиты персональных данных Республики Беларусь, за исключением если нарушение системы защиты персональных данных не привело к:
незаконному распространению, предоставлению персональных данных;
изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.
Приложение 1
к Положению об обработке персональных данных
Форма
РЕЕСТР
обработок персональных данных
|
Категория субъекта персональных данных
|
Цель обработки персональных данных
|
Категории персональных данных
|
Правовое основание обработки персональных данных
|
Срок хранения персональных данных
|
Лицо (подразделение), ответственное за обработку персональных данных
|
|
|
|
|
|
|
|
Приложение 2
к Положению об обработке персональных данных
РЕЕСТР
предоставления персональных данных третьим лицам
|
Субъект персональных данных
|
Категория субъекта персональных данных
|
Категории предоставляемых персональных данных
|
Лицо, которому предоставлены персональные данные
|
Контактные данные лица, которому были предоставлены персональные данные
|
Цель предоставления персональных данных
|
Правовое основание предоставления
|
Дата предоставления персональных данных
|
|
|
|
|
|
|
|
|
|
Приложение 3
к Положению об обработке персональных данных
АКТ ОБ УНИЧТОЖЕНИИ (УДАЛЕНИИ) ПЕРСОНАЛЬНЫХ ДАННЫХ
№ _______
____. __________. 20___ г. г._________
Наименование субъекта персональных данных __________________________________________________________________.
Виды персональных данных:
общедоступные, специальные, биометрические, генетические, иные.
(нужное подчеркнуть)
Категории персональных данных __________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________.
Вид носителя персональных данных (название документа, раздела информационного ресурса (системы) ____________________________________________________________________________________________________________________________________
Способ уничтожения (удаления) персональных данных ____________________________________________________________________________________________________________________________________
|
Состав комиссии:
|
(подпись)
|
(ФИО)
|
|
(подпись)
|
(ФИО)
|
|
|
|
Утверждено
приказом директора
ГУ «Комплексная СДЮШОР
Кобринского района»
от 08.12.2021 №113
Положение о порядке работы с персональными данными в государственном учреждении «Комплексная специализированная детско-юношеская школа олимпийского резерва Кобринского района»
ГЛАВА 1.
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение, разработанное в соответствии с Конституцией Республики Беларусь, Трудовым кодексом Республики Беларусь, Гражданским кодексом Республики Беларусь, Законом Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных», Указом Республики Беларусь «О дополнительных мерах по защите персональных данных», Законом Республики Беларусь от 10.11.2008 N 455-З "Об информации, информатизации и защите информации", иными нормативными правовыми актами Республики Беларусь и локальными правовым актамигосударственного учреждения «Комплексная специализированная детско-юношеская школа олимпийского резерва Кобринского района» (далее – ГУ «Комплексная СДЮШОР Кобринского района»), определяет цели, принципы, условия и правила обработки персональных данных в ГУ «Комплексная СДЮШОР Кобринского района», меры по обеспечению режима их защиты, права и обязанности субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих обработку персональных данных.
1.2. ГУ «Комплексная СДЮШОР Кобринского района» является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников и других субъектов персональных данных в целях:
обеспечения соблюдения законодательства Республики Беларусь;
обеспечения выполнения трудовых договоров (контрактов) с работниками;
содействия работникам в обучении и продвижении по службе;
обеспечения личной безопасности работников;
контроля количества и качества выполняемой работы и обеспечения сохранности имущества ГУ «Комплексная СДЮШОР Кобринского района»;
обеспечения транспортной безопасности;
обеспечения пропуска субъектов персональных данных на объекты ГУ «Комплексная СДЮШОР Кобринского района»;
выполнения социальных обязательств, а также в других целях, предусмотренных уставом и локальными правовым актами ГУ «Комплексная СДЮШОР Кобринского района».
1.3. Действие настоящего Положения не распространяется на отношения, касающиеся случаев обработки персональных данных:
физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью;
отнесенных в установленном порядке к государственным секретам.
1.4. Руководители структурных подразделений ГУ «Комплексная СДЮШОР Кобринского района» несут персональную ответственность за обработку персональных данных, выполнение работниками требований законодательства Республики Беларусь и локальных правовых актов ГУ «Комплексная СДЮШОР Кобринского района» в области обработки персональных данных.
1.5. В настоящем Положении используются понятия согласно Закону Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных».
1.6. При приеме на работу работник должен быть ознакомлен с Положением под подпись до подписания трудового договора (контракта).
1.7. Выписки из Положения о правах и обязанностях работников в области обработки и защиты персональных данных размещены в свободном доступе в кабинете инспектора по кадрам ГУ «Комплексная СДЮШОР Кобринского района».
1.8. Типовые формы документов, необходимых для обработки персональных данных, утверждены настоящим Положением (приложения на ____л.). Работники ГУ «Комплексная СДЮШОР Кобринского района» обязаны оформлять документы по утвержденным формам.
ГЛАВА 2.
СОСТАВ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Состав персональных данных, обрабатываемых в ГУ «Комплексная СДЮШОР Кобринского района»:
1) фамилия, собственное имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства;
5) вид, серия, номер, код документа, удостоверяющего личность, дата выдачи, наименование (код) органа, выдавшего его;
6) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
7) номера рабочих, домашних (стационарных) и мобильных телефонов или сведения о других способах связи;
8) реквизиты свидетельства социального страхования;
9) реквизиты свидетельства о браке;
10) сведения о семейном положении, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством Республики Беларусь;
11) сведения о трудовой деятельности;
12) сведения о воинском учете и реквизиты документов воинского учета;
13) сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании (обучении), специальность по документу об образовании, квалификация);
14) сведения об ученой степени;
15) сведения о владении иностранными языками, включая уровень владения;
16) фотография работника;
17) сведения, содержащиеся в трудовом договоре (контракте), дополнительных соглашениях к трудовому договору (контракту), в приложениях к ним;
18) сведения о пребывании за границей;
19) сведения о наличии или отсутствии судимости - только кандидатов для приема на работу (соискателей) - в случаях, определенных законодательством;
20) сведения о государственных наградах, иных наградах и знаках отличия;
21) сведения о переподготовке и (или) повышении квалификации;
22) результаты медицинского обследования (осмотра) работника на предмет годности к выполнению трудовых обязанностей;
23) сведения о трудовых и социальных отпусках;
24) сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и социальных выплат;
25) другие персональные данные, необходимые для обеспечения реализации целей обработки, указанных в пункте 2 настоящего Положения.
2.2. Категории персональных данных, обрабатываемых в ГУ «Комплексная СДЮШОР Кобринского района»:
1) персональные данные, включенные с письменного согласия субъекта персональных данных в общедоступные источники персональных данных (корпоративные справочники, адресные книги):
а) фамилия, собственное имя, отчество;
б) место работы;
в) занимаемая должность служащего (профессия рабочего);
г) номера стационарных и мобильных рабочих телефонов;
д) адреса корпоративной электронной почты;
е) фотография работника;
2) персональные данные ограниченного доступа - персональные данные, перечисленные в пункте 3.7 настоящего Положения, за исключением персональных данных, перечисленных в подпункте 1 настоящего пункта;
3) специальные персональные данные, касающиеся состояния здоровья работников (обрабатываются в соответствии с требованиями Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных» и Закона Республики Беларусь от 18.06.1993 №2435-XII "О здравоохранении");
4) иные специальные персональные данные, в том числе биометрические персональные данные (обрабатываются в соответствии с требованиями законодательства Республики Беларусь).
2.3. Документы, содержащие персональные данные:
1) анкета, автобиография, которые заполняются при приеме на работу (согласно Инструкции о порядке формирования, ведения и хранения личных дел работников, утвержденной постановление Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26.03.2004 № 2);
2) копия документа, удостоверяющего личность;
3) личная карточка работника;
4) трудовая книжка или ее копия;
5) копии свидетельств о заключении брака, рождении детей;
6) документы воинского учета;
7) справки о доходах с предыдущего места работы;
8) копии документов об образовании;
9) копии документов обязательного социального страхования;
10) трудовой договор (контракт);
11) подлинники и копии приказов по личному составу;
12) материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;
13) копии отчетов, направляемые в органы статистики;
14) другие документы, содержащие персональные данные.
ГЛАВА 3.
ПРИНЦИПЫ, УСЛОВИЯ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Принципы обработки персональных данных:
1) обработка персональных данных должна осуществляться на законной и справедливой основе;
2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
4) обработке подлежат только те персональные данные, которые отвечают целям их обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
6) при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;
7) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3.2. Условия обработки персональных данных:
1) обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством. Получение согласия осуществляется в соответствии с Законом Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных», Порядком обработки и обеспечения режима защиты персональных данных (далее - Порядок обработки персональных данных).
Во всех необходимых случаях ГУ «Комплексная СДЮШОР Кобринского района» оформляет письменное согласие субъекта на обработку его персональных данных. Типовая форма приведена в приложении ___ к настоящему Положению.
2) обработка персональных данных необходима для:
а) выполнения возложенных на ГУ «Комплексная СДЮШОР Кобринского района» уставом учреждения функций, полномочий и обязанностей;
б) осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
в) исполнения договора в рамках трудовых и (или) гражданско-правовых отношений, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
г) защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
д) осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3) обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с законодательством.
3.3. Персональные данные обрабатываются в ГУ «Комплексная СДЮШОР Кобринского района» следующими способами:
1) неавтоматизированная обработка;
2) автоматизированная обработка.
3.4. Обработка персональных данных осуществляется путем:
1) получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;
2) получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
3) формирования персональных данных в ходе кадровой работы;
4) получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
5) получения персональных данных в ответ на запросы, направляемые ГУ «Комплексная СДЮШОР Кобринского района» в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
6) получения персональных данных из общедоступных источников;
7) фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
8) внесения персональных данных в информационные системы ГУ «Комплексная СДЮШОР Кобринского района»;
9) использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой ГУ «Комплексная СДЮШОР Кобринского района» деятельности.
3.5. ГУ «Комплексная СДЮШОР Кобринского района» вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством о защите персональных данных и настоящим Положением.
3.6. Передача персональных данных третьим лицам, в том числе трансграничная передача, допускается только с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных законодательством.
Персональные данные передаются третьим лицам в соответствии с Порядком обработки персональных данных.
3.7. Все персональные данные являются конфиденциальными, за исключением общедоступных персональных данных.
Общедоступными персональными данными являются персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.8. Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
3.9. Сроки обработки, хранения и порядок уничтожения персональных данных на материальных носителях, а также в информационных системах ГУ «Комплексная СДЮШОР Кобринского района» определяются Порядком обработки персональных данных.
ГЛАВА 4.
МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. ГУ «Комплексная СДЮШОР Кобринского района» обеспечивает защиту персональных данных при их обработке в соответствии с законодательством и локальными правовыми актами учреждения на основании принимаемых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
4.2. Защита персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.
4.3. ГУ «Комплексная СДЮШОР Кобринского района» собирает и обрабатывает персональные данные в порядке и в целях, предусмотренных законодательством и настоящим Положением.
4.4. ГУ «Комплексная СДЮШОР Кобринского района» не использует персональные данные для контроля поведения их субъекта, в целях дискриминации, причинения морального или материального ущерба, затруднения в реализации прав и свобод.
4.5. При принятии решений, затрагивающих интересы субъекта, ГУ «Комплексная СДЮШОР Кобринского района» не основывается на данных, полученных исключительно в результате их автоматизированной обработки.
4.6. Субъект персональных данных не может отказаться от своих прав на защиту личной и семейной тайны.
4.7. ГУ «Комплексная СДЮШОР Кобринского района» защищает персональные данные работников в целях:
4.7.1. предотвращения утечки, хищения, утраты, искажения, подделки и иных неправомерных действий с персональными данными;
4.7.2. защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
4.7.3. обеспечения прав субъектов в области персональных данных;
4.7.4. обеспечения сохранности имущества ГУ «Комплексная СДЮШОР Кобринского района» и его работников.
4.8. ГУ «Комплексная СДЮШОР Кобринского района» для защиты персональных данных:
4.8.1. обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Республики Беларусь, за исключением случаев, предусмотренных законодательством;
4.8.2. разрабатывает и утверждает локальные правовые нормы о защите персональных данных;
4.8.3. определяет и закрепляет перечень персональных данных;
4.8.4. ограничивает доступ к информации, составляющей персональные данные, закрепляет порядок обращения с этой информацией, особые условия хранения материальных носителей и информации в электронном виде;
4.8.5. ведет учет лиц, получивших доступ к персональным данным или лиц, которым предоставлена или передана такая информация;
4.8.6. заключает с лицами, получившими доступ к персональным данным, обязательства о соблюдении порядка обработки персональных данных. Включает условия о правах, обязанностях и ответственности в области обработки и защиты персональных данных в трудовые и гражданско-правовые договоры, заключенные с этими лицами;
4.8.7. наносит грифы конфиденциальности на документы, содержащие информацию, составляющую персональные данные;
4.8.8. обучает работников, получивших доступ к персональным данным, правилам обработки и методам защиты персональных данных. Периодически проверяет знания норм и требований в области защиты персональных данных;
4.8.9. организует и ведет конфиденциальное делопроизводство;
4.8.10. применяет средства и методы технической защиты конфиденциальности информации: устанавливает замки, решетки, механические, электромеханические и электронные устройства охраны.
4.9. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого незаконного использования.
Перечень лиц, получающих доступ к персональным данным и осуществляющим их обработку, утверждается приказом директора. Указанные работники получают доступ к персональным данным только после прохождения процедуры допуска.
4.10. Допуск к конфиденциальным персональным данным включает:
4.10.1. ознакомление работника с законодательством о защите персональных данных, об ответственности за его нарушение в области обработки и защиты персональных данных;
4.10.2. принятие работником обязанности соблюдать режим конфиденциальности персональных данных, к которым он получает доступ. Оформление обязательства о соблюдении порядка обработки персональных данных;
4.10.3. принятие работником обязанностей по неразглашению сведений конфиденциального характера после прекращения трудовых отношений;
4.10.4. обучение методам и формам защиты конфиденциальной информации, принятым в ГУ «Комплексная СДЮШОР Кобринского района»;
4.10.5. обязательство не использовать сведения конфиденциального характера в деятельности, не связанной с деятельностью ГУ «Комплексная СДЮШОР Кобринского района».
С лицами, получающими доступ к персональным данным и осуществляющими обработку персональных данных, заключаются трудовые договоры (контракты) или дополнительные соглашения к трудовым договорам (контрактам) с условием об обеспечении конфиденциальности персональных данных (обязательство по соблюдению установленного порядка обработки персональных данных).
4.11. Все документы, содержащие персональные данные, хранятся в режиме конфиденциальности. К ним имеют доступ только те лица, которые допущены к таким сведениям в силу исполнения ими своих должностных (функциональных) обязанностей. Конфиденциальное делопроизводство исключает ознакомление с конфиденциальной информацией иных лиц, не имеющих такого доступа.
На конфиденциальных документах:
- в правом верхнем углу первого листа ставится гриф "Персональные данные";
- в левом нижнем углу первого листа экземпляра документа, подшиваемого в дело, указывается количество экземпляров и место нахождения каждого из них;
- на обороте последнего листа документа указываются должностные лица, получающие доступ к документу.
4.12. Работники, ответственные за учет и хранение конфиденциальных документов, назначаются приказом директора. Эти же работники регистрируют указанные документы.
4.13. При работе с документами, содержащими персональные данные, запрещается:
- знакомить с ними неуполномоченных лиц;
- использовать информацию из этих документов в открытых сообщениях, докладах, переписке, рекламе;
- предоставлять свой компьютер для работы другим работникам;
- оставлять документы на рабочем месте;
- не выключать компьютер.
4.14. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными ОАЦ Республики Беларусь и Национальным центром по защите прав субъектов персональных данных Республики Беларусь, а также в соответствии с локальными правовыми актами ГУ «Комплексная СДЮШОР Кобринского района» в области обеспечения информационной безопасности.
4.15. При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе ГУ «Комплексная СДЮШОР Кобринского района».
4.16. ГУ «Комплексная СДЮШОР Кобринского района» хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
Все персональные данные хранятся в недоступном для неуполномоченных лиц месте – в сейфах или иных закрывающихся на замок шкафах.
4.17. При достижении целей обработки ГУ «Комплексная СДЮШОР Кобринского района» уничтожает персональные данные. Исключения:
- персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
- кандидат на работу желает остаться в кадровом резерве.
ГЛАВА 5.
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъекты персональных данных имеют право на:
1) полную информацию о своих персональных данных, обрабатываемых в ГУ «Комплексная СДЮШОР Кобринского района»;
2) доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством;
3) уточнение своих персональных данных, их блокирование или удаление в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
4) дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;
5) извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;
6) отзыв согласия на обработку своих персональных данных;
7) обжалование в соответствии с законодательством действий ГУ «Комплексная СДЮШОР Кобринского района» при обработке персональных данных или его бездействия;
8) осуществление иных прав, предусмотренных законодательством.
5.2. Субъекты персональных данных обязаны:
- сообщать инспектору по кадрам о происшедших изменениях в анкетных данных не позднее двух недель с момента их изменения;
- проходить обучение и проверку знаний в области обработки и защиты персональных данных;
- соблюдать настоящее Положение;
- сохранять конфиденциальность полученных персональных данных.
ГЛАВА 6.
ОБЯЗАННОСТИ РАБОТНИКОВ ПРИ РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ПРИ УДАЛЕННОЙ РАБОТЕ
6.1. Работники, которые обрабатывают документы и информацию с персональными данными, в режиме удаленной работы обязаны:
– в нерабочее время отключать доступ к удаленному рабочему столу через VPN, а также при кратковременном отсутствии на рабочем месте блокировать устройство (компьютер, ноутбук, планшет), которое является собственностью нанимателя;
– немедленно информировать руководителя о фактах утраты (недостачи) документов (отдельных листов), содержащих персональные данные работников, а также при пересылке курьерскими службами или почтой;
– незамедлительно сообщить в отдел информационной безопасности о попытке или факте взлома устройства;
– вовремя обновлять пароли и программное обеспечение, по требованию системы;
– устанавливать пароли повышенного уровня сложности или использовать двойную аутентификацию;
– для обмена конфиденциальной информацией между работниками использовать только корпоративную почту.
ГЛАВА 7.
ПРАВА И ОБЯЗАННОСТИ ГУ «КОМПЛЕКСНАЯ СДЮШОР КОБРИНСКОГО РАЙОНА»
7.1. ГУ «Комплексная СДЮШОР Кобринского района» обязано принимать следующие необходимые и достаточные меры для выполнения обязанностей оператора, предусмотренных законодательством:
1) назначать ответственного за осуществление внутреннего контроля за обработкой персональных данных;
2) издавать документы, определяющие политику ГУ «Комплексная СДЮШОР Кобринского района» в отношении обработки персональных данных, нормативные документы по вопросам обработки персональных данных, а также иные локальные правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений;
3) применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
4) разъяснять субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством;
5) блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством;
6) уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;
7) представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством и локальными правовыми актами ГУ «Комплексная СДЮШОР Кобринского района»;
8) осуществлять внутренний контроль соответствия обработки персональных данных законодательству о персональных данных, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным правовым актам оператора.
7.2. ГУ «Комплексная СДЮШОР Кобринского района» имеет право:
- получать достоверные персональные данные от субъекта персональных данных;
- привлекать к дисциплинарной и материальной и иной ответственности лиц, нарушивших правила обработки и получения персональных данных.
ГЛАВА 8.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Лица, виновные в нарушении законодательства и локальных правовых актов ГУ «Комплексная СДЮШОР Кобринского района» в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.
8.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством и локальными правовыми актами ГУ «Комплексная СДЮШОР Кобринского района» в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством.
Приложение №__
к приказу директора
от 08.12.2021 №113
ПОЛОЖЕНИЕ
О политике защиты персональных данных
ГЛАВА 1
ОСНОВНЫЕ ПОЛОЖЕНИЯ
ГУ «Комплексная СДЮШОР Кобринского района» самостоятельно или совместно с другими лицами организует или осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными.
Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
1. Субъекты персональных данных имеют право:
1.1. на отзыв согласия субъекта персональных данных;
1.2. на получение информации, касающейся обработки персональных данных, и изменение персональных данных;
1.3. на получение информации о предоставлении персональных данных третьим лицам;
1.4. требовать прекращения обработки персональных данных и (или) их удаления;
1.5. на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
2. Все указанные в настоящем Положении сведения основаны на требованиях Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных», Указа Республики Беларусь «О дополнительных мерах по защите персональных данных», Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных», Закона Республики Беларусь от 10.11.2008 N 455-З "Об информации, информатизации и защите информации" и Положения об обработке и защите персональных данных в ГУ «Комплексная СДЮШОР Кобринского района», утвержденном директором 08.12.2021 №113.
ГЛАВА 2
ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2. ГУ «Комплексная СДЮШОР Кобринского района» обрабатывает персональные данные работников, соблюдая требования законодательства и исключительно в целях трудоустройства, оформления трудовых отношений, получения работниками образования и продвижения по работе, контроля количества и качества выполняемой работы, обеспечения трудовой и исполнительной дисциплины и сохранности имущества.
Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т. д. – ГУ «Комплексная СДЮШОР Кобринского района» обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по законодательству и локальным правовым актам ГУ «Комплексная СДЮШОР Кобринского района».
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3. ГУ «Комплексная СДЮШОР Кобринского района» обрабатывает персональные данные работников в соответствии:
3.1. С Уставом ГУ «Комплексная СДЮШОР Кобринского района».
3.2. Положением о порядке обработки и о защите персональных данных, Перечнем работников ГУ «Комплексная СДЮШОР Кобринского района», которые для выполнения трудовой функции получают доступ к персональным данным для выполнения, и локальными правовыми актами учреждения.
3.3. Трудовыми договорами (контрактам), договорами о материальной ответственности, договорами на обучение, которые ГУ «Комплексная СДЮШОР Кобринского района» заключает с работниками.
3.4. Согласиями на обработку персональных данных.
3.5. Обязательствами о соблюдении порядка обработки персональных данных.
ГЛАВА 4
ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. ГУ «Комплексная СДЮШОР Кобринского района» обрабатывает персональные данные следующих субъектов персональных данных:
4.1. Работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников, а также родственников работников.
4.2. Клиентов и контрагентов – физических лиц.
4.3. Представителей или работников, клиентов и контрагентов – юридических лиц.
4.4. Граждан, выполняющих работу по гражданско-правовым договорам.
4.2. ГУ «Комплексная СДЮШОР Кобринского района» обрабатывает любые персональные данные работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников, а также родственников работников в целях оформления трудовых отношений, а также в процессе трудовой деятельности таких субъектов персональных данных в случаях, предусмотренных законодательством.
4.3. Персональные данные о работниках и бывших работниках:
- фамилия, собственное имя, отчество, возраст, дата рождения;
- паспортные данные (данные идентификационной карты) или иного документа, удостоверяющего личность физического лица;
- образование, специальность, квалификация, трудовой стаж, опыт работы;
- повышение квалификации, профессиональная подготовка, переподготовка, аттестация;
- занимаемая должность служащего или выполняемая работа по профессии рабочего;
- сведения о воинском учете;
- социальные гарантии и льготы и основания для них;
- состояние здоровья работника, результаты медицинского осмотра, психиатрического освидетельствования;
- адрес места жительства, номер телефона;
- иные сведения о работнике полученные в результате исполнения должностных обязанностей.
4.4. Персональные данные о семейном положении работников и членах их семей:
- о наличии детей и иждивенцев;
- состоянии здоровья членов семьи;
- необходимости ухода за больным членом семьи;
- усыновлении и удочерении;
- иных фактах, на основании которых работникам по законодательству и локальным правовым актам ГУ «Комплексная СДЮШОР Кобринского района» должны быть предоставлены гарантии и компенсации.
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В ГУ «Комплексная СДЮШОР Кобринского района» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
5.2. Доступ к персональным данным в ГУ «Комплексная СДЮШОР Кобринского района» имеют только те лица, кому это необходимо для исполнения должностных (трудовых) обязанностей. Работники, получающие доступ к персональным данным, определяются приказом директора ГУ «Комплексная СДЮШОР Кобринского района». Они проходят процедуру допуска, в процессе которой обучаются методам и способам безопасной обработки персональных данных.
Права, обязанности и ответственность работников, обрабатывающих персональные данные в ГУ «Комплексная СДЮШОР Кобринского района», закрепляются в их должностных (рабочих) инструкциях и (или) трудовых договорах (контрактах). Они дают отдельное письменное обязательство о соблюдении порядка обработки персональных данных, в т. ч. после увольнения их из ГУ «Комплексная СДЮШОР Кобринского района».
За нарушение правил обработки персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения по пункту 10 части первой статьи 47 Трудового кодекса Республики Беларусь.
5.3. В случаях, предусмотренных законодательством, в частности предусмотренных статьями 6 и 8 Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных», ГУ «Комплексная СДЮШОР Кобринского района» обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях ГУ «Комплексная СДЮШОР Кобринского района» предлагает субъекту персональных данных оформить согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
5.4. ГУ «Комплексная СДЮШОР Кобринского района» хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
При достижении целей обработки ГУ «Комплексная СДЮШОР Кобринского района» уничтожает персональные данные. Исключения:
- персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
- кандидат на работу желает остаться в кадровом резерве.
5.5. ГУ «Комплексная СДЮШОР Кобринского района» передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством.
ГЛАВА 6
АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. ГУ «Комплексная СДЮШОР Кобринского района» при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Национального центра по защите персональных данных блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
6.2. ГУ «Комплексная СДЮШОР Кобринского района» на основании сведений, представленных субъектом персональных данных или его представителем либо Национального центра по защите персональных данных, или иных необходимых документов уточняет персональные данные в течение 15 дней со дня представления таких сведений.
6.3. В случае выявления неправомерной обработки персональных данных ГУ «Комплексная СДЮШОР Кобринского района» в срок, не превышающий 15 дней, прекращает неправомерную обработку персональных данных.
6.4. В случае достижения цели обработки персональных данных ГУ «Комплексная СДЮШОР Кобринского района» прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 15 дней с даты достижения цели обработки персональных данных.
6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных ГУ «Комплексная СДЮШОР Кобринского района» прекращает их обработку в срок, не превышающий 15 дней с даты поступления отзыва.
6.6. ГУ «Комплексная СДЮШОР Кобринского района» сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя ГУ «Комплексная СДЮШОР Кобринского района» знакомит его с этими персональными данными в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами.