Защита персональных данных
Документы по защите персональных данных:
- перечень для учреждений дошкольного образования
Учреждение дошкольного образования, являясь самостоятельным оператором, осуществляющим обработку персональных данных, обязано выполнять предписания Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Рассмотрим более подробно, какая документация должна быть в учреждении дошкольного образования в соответствии с Законом.
Закон не содержит исчерпывающего перечня мер, принятие которых будет свидетельствовать о соблюдении оператором обязанности по обеспечению защиты персональных данных. В Законе реализован риск-ориентированный подход, поэтому в зависимости от сферы деятельности оператора, объема обрабатываемых персональных данных, способов обработки, категорий персональных данных, потенциальных рисков, связанных с обработкой персональных данных, иных обстоятельств оператор (уполномоченное лицо) самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных. При этом в ст. 17 Закона прописан комплекс мер по обеспечению защиты персональных данных, которые каждый оператор (уполномоченное лицо) обязан принимать в своей организации.
- Таким образом, обработка персональных данных в сфере дошкольного образования может осуществляться на различных правовых основаниях, при этом согласие субъекта персональных данных в большинстве случаев не требуется.
Вместе с тем даже наличие и правильный выбор правовых оснований обработки персональных данных не исключают возможных нарушений Закона. Обращаем внимание, что в соответствии с п. 5 ст. 4 Закона обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. К сожалению, приходится констатировать, что в учреждениях образования встречается избыточная обработка персональных данных, когда учреждения собирают информацию на всякий случай, не задумываясь о реальной необходимости обработки подобной информации.
Для оказания учреждениям образования содействия в надлежащей реализации законодательства о персональных данных Центром подготовлена информация о применении Закона в сфере образования, в которой детально освещены вопросы, связанные с обработкой персональных данных в учреждениях образования, включая правовые основания такой обработки, общие требования к обработке персональных данных, организацию работы по реализации Закона. Указанная информация доступна для скачивания на сайте Центра (короткая ссылка — clck.ru/yG6eZ).
Источник: журнал РУКОВОДИТЕЛЬ учреждения дошкольного образования
Автор:
заместитель начальника управления методологии защиты персональных данных Национального центра защиты персональных данных Республики Беларусь, кандидат юридических наук, доцент
Документы, разрабатываемые в учреждении дошкольного образования
Учреждение образования, являясь самостоятельным оператором, обязано выполнять предписания Закона. Остановимся более подробно на тех документах, касающихся защиты персональных данных, которые должны быть разработаны в учреждении образования.
1. Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных*.
Наряду с назначением ответственного лица необходимо разработать порядок осуществления внутреннего контроля за обработкой персональных данных, включающий периодичность и формат контрольных мероприятий, их оформление и порядок принятия решений по результатам таких мероприятий.
* С рекомендациями о назначении структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, можно ознакомиться на сайте НЦЗПД.
2. Политика учреждения образования в отношении обработки персональных данных.
Цель издания данного документа заключается в информировании субъектов персональных данных об обработке персональных данных в учреждении.
Следует отметить, что это может быть один общий документ, определяющий политику учреждения образования в отношении обработки персональных данных, или несколько документов, определяющих порядок обработки персональных данных в определенных сферах или в связи с определенными процессами (например, в рамках обработки персональных данных на сайте, обработки персональных данных работников в процессе трудовой (служебной) деятельности и т. п.).
Это важно
Политика должна содержать общие положения, разъясняющие субъекту персональных данных, как и для каких целей персональные данные собираются, используются или иным образом обрабатываются, а также какие права имеются у субъекта в контексте этой обработки и каков механизм их реализации.
При написании политики важно обеспечить соотношение информации о целях, правовых основаниях обработки и круге обрабатываемых персональных данных, что позволит субъекту персональных данных уяснить, какие его персональные данные и для каких именно целей обрабатываются. В противном случае политика будет носить формальный характер и не иметь для субъекта практической пользы, поскольку не будет обеспечена реализация принципа прозрачности обработки персональных данных.
Это важно
Как показали проверки, проводимые НЦЗПД, многие забывают отразить в политике все процессы, в ходе которых обрабатываются персональные данные (например, забывают о видеонаблюдении в здании), а также не обеспечивают соотношение целей обработки, правовых оснований, категорий субъектов персональных данных, чьи данные подвергаются обработке, и перечня обрабатываемых персональных данных.
При подготовке политики многие операторы просто дублируют положения Закона, что также не отвечает принципу прозрачности обработки персональных данных, либо используют первую попавшуюся в Интернете политику без ее адаптации к собственным процессам, либо включают в политику положения, изложенные с учетом подходов российского законодательства.
Отмечается также несогласованность положений политики, а иногда даже прямое противоречие их друг другу. При формулировании целей обработки персональных данных в политике зачастую указывают слишком общие либо неконкретные цели обработки (например, обеспечение соблюдения законодательства, осуществление деятельности в соответствии с уставом). При определении сроков обработки персональных данных сроки либо вовсе не указываются, либо указываются неконкретные сроки («не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством», «согласие действует до момента отзыва этого согласия либо до момента, установленного законодательством»).
Это важно
В некоторых случаях в политике не указывается механизм реализации прав субъектов персональных данных, в т. ч. не указывается лицо, ответственное за осуществление внутреннего контроля, либо на субъектов персональных данных возлагаются обязанности, не предусмотренные Законом, что нарушает их права и законные интересы, создает для них сложности и непонимание механизма реализации своих прав.
Рекомендуется писать политику простым и понятным языком, избегая сложных оборотов и специфической профессиональной лексики.
Обращаем внимание, что рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, размещены в открытом доступе.
Необходимо помнить и о том, что учреждение образования обязано обеспечить неограниченный доступ к политике, в т. ч. с использованием Интернета, с учетом круга субъектов персональных данных, на которых она распространяется.
Это важно
Политика оператора в отношении «внешнего контура» (законных представителей несовершеннолетних, граждан, направляющих обращения, и т. п.) размещается на сайте оператора. При отсутствии у учреждения образования сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.
Политику учреждения образования в отношении обработки персональных данных работников (при ее наличии) нет необходимости размещать в открытом доступе для неограниченного круга лиц. В этом случае допустимо опубликовать соответствующий документ на корпоративном портале (при его наличии), а также разместить на информационных стендах.
3. Документ, определяющий порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе).
В законодательстве нет требований относительно того, что должен включать данный порядок. Полагаем, это зависит от самого учреждения образования, целей сбора персональных данный и от того, какие персональные данные будут обрабатываться.
Порядок доступа к персональным данным целесообразно закрепить в одном документе, но отдельные его положения могут быть детализированы в иных документах, в т. ч. положениях об информационных ресурсах (системах), о видеонаблюдении и др.
При разработке порядка доступа к персональным данным в нем следует отразить различия в предоставлении такого доступа к документам в информационных ресурсах и к документам в бумажном виде. Например, доступ к персональным данным, обрабатываемым в информационном ресурсе (системе), может быть ограничен посредством настроек программного обеспечения (установление разграничения доступа, паролей). А доступ к персональным данным, содержащимся в документах в бумажном виде, можно ограничить посредством организации мест для их хранения.
Отсутствие такого порядка может привести к тому, что доступ к персональным данным будут иметь работники, должностные обязанности которых не связаны с обработкой персональных данных (например, обслуживающий персонал), или иные лица (обучающиеся, родители, посетители учреждения образования).
В любом случае данный документ может включать следующую информацию:
- перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных;
- порядок доступа в помещения, где обрабатываются персональные данные, к электронным базам персональных данных, порядок выдачи логинов и паролей, перечень должностей учреждения образования, которым может быть дан доступ, а также цели выдачи такого доступа (например, при организации оплаты питания);
- порядок прекращения доступа работников к обработке персональных данных и т. п.
4. Перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является учреждение образования, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы).
Операторы обязаны устанавливать и поддерживать в актуальном состоянии перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются (подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»).
К данным ресурсам (системам) следует относить, например, такие распространенные в учреждениях образования ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, кадрового учета, сайты учреждений, автоматизированные системы контроля и управления доступом, системы видеонаблюдения, системы электронного документооборота и т. п.
5. Перечень уполномоченных лиц (если для обработки персональных данных в учреждении образования привлекаются такие лица).
Данный перечень может быть установлен как в виде отдельного документа, так и в документах, определяющих политику оператора в отношении обработки персональных данных, реестре обработки персональных данных.
При этом учреждение образования при заключении договора с уполномоченным лицом должно руководствоваться ст. 7 Закона.
6. Формы согласия субъекта персональных данных.
Учреждение образования должно разработать и утвердить формы согласия субъекта персональных данных для обработки персональных данных, осуществляемой на основании согласия. Важно учитывать, что для разных целей обработки формы согласия могут отличаться (по кругу обрабатываемых персональных данных, сроку хранения, кругу уполномоченных лиц и т. п.).
С примерной формой согласия можно ознакомиться на сайте НЦЗПД.
7. Документ, устанавливающий порядок удаления (уничтожения) персональных данных.
Данный документ может быть оформлен как отдельный локальный правовой акт либо включен в локальный акт, определяющий порядок функционирования информационной системы (ресурса), политику информационной безопасности.
8. Документ, определяющий порядок учета предоставления персональных данных третьим лицам.
Целесообразно вести учет предоставления персональных данных третьим лицам (например, в журнале). При отсутствии такого учета будет затруднительно в полной мере выполнять обязанности оператора (например, реализовывать право субъекта персональных данных, предусмотренное ст. 12 Закона, на получение информации о предоставлении персональных данных третьим лицам).
Требования к оформлению согласия
Если правовым основанием обработки персональных данных является согласие субъекта персональных данных (в отношении несовершеннолетнего — его законного представителя), оно должно соответствовать требованиям, предусмотренным ст. 5 Закона.
В соответствии с п. 1 ст. 5 Закона согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
Чтобы оценить, является ли согласие свободным, следует исходить из того, обладает ли субъект персональных данных реальным выбором, давать или не давать свое согласие, либо его согласие является вынужденным, например, в силу связанности согласия с достижением иной, желаемой для него цели (например, заключением договора, осуществлением трудовой функции, зачислением в учреждение дошкольного образования).
В целях обеспечения информированного согласия субъекту персональных данных до начала обработки должна быть предоставлена информация, предусмотренная п. 5 ст. 5 Закона.
Центром разработана примерная форма согласия на обработку персональных данных. Данная форма доступна на сайте Центра (короткая ссылка — clck.ru/yG2V2).
Внесение изменений в локальные правовые акты
В должностные инструкции работников, трудовая функция которых связана с обработкой персональных данных (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы)), педагогических работников необходимо внести положения, касающиеся соблюдения установленного законодательством о персональных данных и локальными правовыми актами порядка обработки персональных данных.
Конкретный перечень таких обязанностей определяется в каждом конкретном случае исходя из специфики деятельности работника. Примерный перечень таких обязанностей можно найти на сайте НЦЗПД.
В должностных инструкциях остальных работников, обрабатывающих персональные данные, может быть предусмотрена их обязанность «соблюдать установленный законодательством о защите персональных данных и локальными правовыми актами порядок обработки персональных данных».
Ознакомление работников с документами
Важно помнить и о том, что к числу обязательных мер по обеспечению защиты персональных данных относится не только подготовка вышеуказанных документов, но и ознакомление работников учреждения образования и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, иными документами, а также обучение указанных работников и иных лиц в порядке, установленном законодательством (абз. 4 п. 3 ст. 17 Закона).
Порядок ознакомления (ознакомление под роспись и др.) определяет само учреждение образования. Важно, чтобы это ознакомление не носило формального характера, а работники детально ознакомились с тем объемом информации, который им необходим для успешного выполнения трудовых функций.
Заключение договоров на оказание платных услуг в сфере образования
Согласно п. 1 ст. 130 Кодекса об образовании учреждения образования могут осуществлять приносящую доходы деятельность в соответствии с актами законодательства.
В соответствии с п. 1 ст. 59 Кодекса об образовании для оказания услуг в сфере образования при реализации образовательных программ на платной основе заключается договор, например, на проведение дополнительных занятий по отдельному предмету (предметам), на иные платные услуги и др. При этом одной из сторон договора выступает учреждение образования. На педагогических работников в таких случаях возлагается обязанность осуществления указанных видов деятельности, исходя из педагогической нагрузки.
Таким образом, заключение договоров на оказание платных услуг в сфере образования, а также их исполнение может рассматриваться в качестве трудовой функции работника, поскольку указанные договоры направлены на получение доходов от оказания образовательных и иных услуг учреждением образования.
В отдельных случаях учреждение образования для оказания подобных платных услуг может привлекать педагогических работников по договору подряда. Сторонами таких договоров выступают учреждение образования и педагог, а предметом договоров является оказание образовательных услуг. В подобных случаях получение согласия педагога также не требуется, поскольку правовым основанием обработки является абз. 15 ст. 6 Закона (получение персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором).
Защита персональных данных при размещении фото и видео на сайте учреждения
Необходимо ли получать согласие законных представителей воспитанников при размещении их фото и видео на сайте учреждения дошкольного образования?
Не нужно, если основной объект на снимке — не изображение ребенка, а проводимое мероприятие.
В настоящее время в республике принимаются меры по внесению изменений в НПА в целях регулирования вопроса о размещении фотографий и видеозаписей на сайтах организаций.
До внесения соответствующих изменений в акты законодательства государственным учреждениям образования следует руководствоваться Положением о порядке функционирования интернет-сайтов государственных органов и организаций (утв. постановлением Совета Министров Республики Беларусь от 29.04.2010 № 645 (далее — Положение № 645)).
На основании подп. 7.7 п. 7 Положения № 645 размещение по решению руководителя государственного учреждения образования на сайте, в соцсетях фотографий и видеозаписей с изображением участников мероприятия (в т. ч. несовершеннолетних) без получения их согласия в рамках новостного контента, освещения спортивных, культурных, образовательных мероприятий не рассматривается как нарушение Закона Республики Беларусь от 07.05.2022 № 99-З «О защите персональных данных».
Изображение ребенка при этом не должно быть основным объектом на снимке, фотография должна отражать именно проводимое мероприятие.
В случае, если акцент делается на изображении ребенка, то для размещения таких фотографий или видеоизображения необходимо получать согласие законного представителя воспитанника.
Когда согласие брать не следует
Согласие субъекта персональных данных не является универсальным или обязательным условием для обработки персональных данных. Обработка персональных данных осуществляется без согласия субъекта персональных данных в случаях, предусмотренных ст. 6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).
При определении правового основания обработки персональных данных в учреждении образования заведующему необходимо внимательно изучить ст. 6 и ч. 2 ст. 8 Закона. И только в том случае, если ни одно из указанных в них оснований не подходит, можно говорить о том, что обработку персональных данных необходимо осуществлять на основании согласия.
Еще одним критерием, позволяющим определиться с выбором правового основания обработки, может являться, в частности, тот факт, что отзыв согласия, если субъект решит воспользоваться своим правом, сам по себе не повлечет прекращения обработки персональных данных. Если такая обработка будет продолжаться, например, в силу требований законодательных актов, необходимости выполнения возложенных на оператора или уполномоченное лицо обязанностей, продолжения исполнения условий договора, следует констатировать, что обработка персональных данных должна осуществляться на ином правовом основании, и согласие субъекта персональных данных не требуется. И только лишь в ситуации, когда обработка персональных данных в тех или иных процессах зависит исключительно от воли субъекта, следует говорить о необходимости получения согласия как правового основания обработки.
Анализ правоприменительной практики и обращений, поступающих в Национальный центр защиты персональных данных, выборочный мониторинг сайтов учреждений образования показали, что в учреждениях образования существуют серьезные проблемы, связанные с выбором правового основания обработки персональных данных для тех или иных целей. Например, согласие родителя (законного представителя) на обработку персональных данных несовершеннолетнего, формы которого разработаны и предлагаются к подписанию учреждениями образования, не соответствует требованиям Закона ни по форме, ни по содержанию.
В соответствии с п. 1 ст. 5 Закона согласие на обработку персональных данных представляет собой свободное выражение воли субъекта персональных данных. Во многих формах согласия, используемых учреждениями образования, родителю (законному представителю) или обучающемуся не предоставлена возможность по своему усмотрению отказаться от одной или нескольких целей обработки, а также отозвать согласие в отношении одной или нескольких целей обработки, что не согласуется с требованиями ст. 5 Закона.
ПОЛОЖЕНИЕ о политике в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Государственное учреждение образования «Юньковский детский сад Поставского района» (далее ГУО «Юньковский детский сад Поставского района»), выполняя требования статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и с учетом Рекомендаций Национального центра по защите персональных данных по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных», публикует в свободном доступе настоящую политику в отношении обработки персональных данных.
1.2. Основные понятия.
1.2.1. Персональные данные любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
1.2.2. Оператор персональных данных, оператор — ГУО «Юньковский детский сад Поставского района» самостоятельно или совместно с другими лицами организующее или осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными.
1.2.3. Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
1.3. Субъекты персональных данных имеют право:
1.3.l. на отзыв согласия субъект персональных данных;
1.3.2. на получение информации, касающейся обработки персональных данных и изменение персональных данных;
1,3.3. на получение информации о предоставлении персональных данных третьим лицам;
1.3.4. требовать прекращения обработки персональных данных и (или) их удаления;
1.3.5. на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
1.4. Все указанные в настоящей Политике сведения основаны на требованиях Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных», Указа Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 07.05.2021 99-3 «О защите персональных данных», Закона Республики Беларусь от 10.11.2008 № 455-3 «Об информации, информатизации и защите информации» и Положения об обработке и защите персональных данных в, ГУО «Юньковский детский сад Поставского района», утвержденном заведующим 03.01.2023
ГЛАВА 2
ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. ГУО «Юньковский детский сад Поставского района» обрабатывает персональные данные работников, соблюдая требования законодательства и исключительно в целях трудоустройства, оформления трудовых отношений, получения работниками образования и продвижения по работе, контроля количества и качества выполняемой работы, обеспечения трудовой и исполнительной дисциплины и сохранности имущества.
Любые сведения личного характера о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т. д. — ГУО «Юньковский детский сад Поставского района» обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по законодательству и локальным правовым актам ГУО «Юньковский детский сад Поставского района»
ГЛАВА З
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ГУО «Юньковский детский сад Поставского района» обрабатывает персональные данные работников в соответствии:
3.1.1 С Уставом ГУО «Юньковский детский сад Поставского района»
3.1.2. Положением о порядке обработки и о защите персональных данных, Перечнем работников ГУО «Юньковский детский сад Поставского района», которые для выполнения трудовой функции получают доступ к персональным данным;
3.1.3. Трудовыми договорами (контрактам), договорами о материальной ответственности, которые ГУО «Юньковский детский сад Поставского района»заключает с работниками.
3.1.4. Согласиями на обработку персональных данных;
3.1.5. Обязательствами о соблюдении порядка обработки персональных данных.
ГЛАВА 4
ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. ГУО «Юньковский детский сад Поставского района» обрабатывает персональные данные следующих субъектов персональных данных:
4.l.l. Работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников, а также родственников работников.
4.1.2. Законных представителей — физических лиц.
4.1.3. Представителей или работников, клиентов и контрагентов юридических лиц.
4.1.4. Граждан, выполняющих работу по гражданско-правовым договорам.
4.2. ГУО «Юньковский детский сад Поставского района» обрабатывает любые персональные данные работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников, а также родственников работников в целях оформления трудовых отношений, а также в процессе трудовой деятельности таких субъектов персональных данных в случаях, предусмотренных законодательством.
4.2.1. Персональные данные о работниках и бывших работниках:
- фамилия, собственное имя, отчество, возраст, дата рождения; паспортные данные (данные идентификационной карты) или иного документа, удостоверяющего личность физического лица;
- образование, специальность, квалификация, трудовой стаж, опыт работы; повышение квалификации, профессиональная подготовка, переподготовка, аттестация;
- занимаемая должность служащего или выполняемая работа по профессии рабочего;
сведения о воинском учете;
- социальные гарантии и льготы и основания для них;
состояние здоровья работника, результаты медицинского осмотра, психиатрического освидетельствования;
- адрес места жительства, номер телефона.
4.2.2. Персональные данные о семейном положении работников и членах их семей:
— о наличии детей и иждивенцев;
— состоянии здоровья членов семьи;
— необходимости ухода за больным членом семьи;
— усыновлении и удочерении;
— иных фактах, на основании которых работникам по законодательству и локальным правовым актам ГУО «Юньковский детский сад Поставского района» должны быть предоставлены гарантии и компенсации.
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В ГУО «Юньковский детский сад Поставского района» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
5.2. Доступ к персональным данным в ГУО «Юньковский детский сад Поставского района» имеют только те лица, кому это необходимо для исполнения должностных (трудовых) обязанностей. Работники, получающие доступ к персональным данным, определяются приказом заведующего ГУО «Юньковский детский сад Поставского района». Они проходят процедуру допуска, в процессе которой обучаются методам и способам безопасной обработки персональных данных.
Права, обязанности и ответственность работников, обрабатывающих персональные данные в ГУО «Юньковский детский сад Поставского района», закрепляются в их должностных инструкциях и (или) трудовых договорах (контрактах). Они дают отдельное письменное обязательство о соблюдении порядка обработки персональных данных, в т. ч. после увольнения их из ГУО «Юньковский детский сад Поставского района».
За нарушение правил обработки персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения по пункту 10 части первой статьи 47 Трудового кодекса Республики Беларусь.
5.3. В случаях, предусмотренных законодательством, в частности предусмотренных статьями 6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных», ГУО «Юньковский детский сад Поставского района» обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях ГУО «Юньковский детский сад Поставского района» предлагает субъекту персональных данных оформить согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
5.4. ГУО «Юньковский детский сад Поставского района» хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
При достижении целей обработки ГУО «Юньковский детский сад Поставского района» уничтожает персональные данные. Исключения:
персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
- кандидат на работу желает остаться в кадровом резерве.
5.5. ГУО «Юньковский детский сад Поставского района» передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством.
ГЛАВА 6
АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. ГУО «Юньковский детский сад Поставского района» также по запросу Национального центра по защите персональных данных блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
6.2. ГУО «Юньковский детский сад Поставского района» на основании сведений, представленных субъектом персональных данных или его представителем либо Национального центра по защите персональных данных, или иных необходимых документов уточняет персональные данные в течение 15 дней со дня представления таких сведений.
6.3. В случае выявления неправомерной обработки персональных данных ГУО «Юньковский детский сад Поставского района» в срок, не превышающий 1.5 дней, прекращает неправомерную обработку персональных данных.
6.4. В случае достижения цели обработки персональных данных ГУО «Юньковский детский сад Поставского района» прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 15-дней с даты достижения цели обработки персональных данных.
6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных ГУО «Юньковский детский сад Поставского района» прекращает их обработку в срок, не превышающий 15 дней с даты поступления отзыва.
6.6. ГУО «Юньковский детский сад Поставского района» сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя ГУО «Юньковский детский сад Поставского района» знакомит его с этими персональными данными в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами.
