Работа с персональными данными

ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ  7 мая 2021 г. № 99-З  "О защите персональных данных"

ГЛАВА 10

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

38. Субъекты персональных данных имеют права на:

38.1.отзыв согласия субъекта персональных данных;

38.2.получение информации, касающейся обработки персональных данных, и изменение персональных данных;

38.3. требование прекращения обработки персональных данных и (или) их удаления;

38.4.обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.

Что нужно знать о согласии на обработку персональных данных

учащегося ________ класса ГУО «Средняя школа №11 г. Солигорска» настоящим подтверждаю свое согласие оператору персональных данных – ГУО «Средняя школа №11 г. Солигорска», расположенное по адресу Минская область, г. Солигорск, ул. Богомолова, д. 17, на обработку персональных данных моего ребенка в целях осуществления обучения и воспитания в интересах личности, общества и государства, обеспечения охраны здоровья и создания благоприятных условий для разностороннего развития личности и информационного обеспечения  управления образовательным процессом:

-сведения, содержащиеся в документах, удостоверяющих личность: фамилия, имя, отчество, пол, дата рождения, серия и номер свидетельства о рождении (паспорта), когда и кем выдан, место рождения, гражданство, адрес регистрации и проживания, номер телефона;

-сведения о родителях (лицах их заменяющих): фамилия, имя, отчество, место работы, должность, телефон, адрес регистрации и проживания;

-сведения о семье: социальный статус, количество детей, полнота семьи;

-данные об образовании: отметки по предметам (за период обучения и воспитания на I, II, III ступенях общего среднего образования), ЦТ, серия и номер документа о завершении обучения и воспитания на II, III ступенях общего среднего образования, сведения об участии в олимпиадах, конкурсах, спортивных мероприятиях, занятиях в объединениях по интересам, секциях;

-информация медицинского характера: рост, вес, сведения о прививках, группа здоровья физкультурная группа;

-иные документы (документы для получения единовременного социального пособия, документы для обеспечения льготами, использования фотографий для школьного интернет-ресурса).

Обработка персональных данных моего ребенка включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, а также передачу в управление по образованию, спорту и туризму Соигорского райисполкома, Главное управление образования, в Автоматизированную систему обработки данных «Открытая платформа «Образования» (АСОД), в РВК (юноши 15-летнего возраста), в УЗ «Солигорская центральная районная больница», обезличивание, блокирование, удаление и уничтожение.

Настоящее согласие действует до момента отзыва, если иное не предусмотрено законодательством Республики Беларусь.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в 15-дневный срок.

_____________                      ___________                       _______________________

                дата                         расшифровка                                подпись                                                                          

УТВЕРЖДЕНО

Приказ директора Государственного учреждения образования «Средняя школа

№ 11 г. Солигорска»

09.11.2021 № 778 

ПОЛОЖЕНИЕ

об обработке и защите персональных данных

в Государственном учреждении образования

 «Средняя школа № 11 г. Солигорска»

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение об обработке и защите персональных данных

в Государственном учреждении образования «Средняя школа  № 11 г. Солигорска» (далее – Положение) определяет политику в отношении получения, обработки, хранения и передачи персональных данных, а также их защиты. Положение разработано на основании  Конституции Республики Беларусь, Трудового кодекса Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон), иных нормативных правовых актов Республики Беларусь.

2. Настоящее Положение разработано в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также в целях сохранения конфиденциальности персональных данных и их защиты в Государственном учреждении образования «Средняя школа      № 11 г. Солигорска» (далее – Учреждение).
3. Лицом, которое будет осуществлять обработку персональных данных (далее – Оператор), является Государственное учреждение образования «Средняя школа №11 г. Солигорска», юридический адрес: 223710, Минская область, город Солигорск, улица Богомолова, 17.
4. Настоящее Положение действует в отношении всех персональных данных, обрабатываемых в Учреждении, кроме случаев обработки персональных данных:

физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного   с профессиональной или предпринимательской деятельностью;

отнесенных в установленном порядке к государственным секретам.

5. В настоящем Положении и для целей его реализации применяются термины и определения в значениях, определенных в Законе:

биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);

блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие             и (или) осуществляющие обработку персональных данных;

персональные данные - любая информация, относящаяся   к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

предоставление персональных данных - действия, направленные   на ознакомление с персональными данными определенных лица или круга лиц;

распространение персональных данных - действия, направленные  на ознакомление с персональными данными неопределенного круга лиц;

специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;

удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;

физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

6. С целью исполнения требований пункта 4 статьи 17 Закона Положение публикуется в свободном доступе на официальном сайте Учреждения.
7. Настоящее Положение, а также изменения и дополнения к нему утверждаются приказом директора Учреждения.
8. Контроль за исполнением требований Положения осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в Учреждении.
9. Ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов Учреждения в сфере обработки и защиты персональных данных определяется в соответствии

с законодательством Республики Беларусь.

ГЛАВА 2

ПРАВОВЫЕ ОСНОВАНИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми осуществляется обработка персональных данных в Учреждении, в том числе: Конституция Республики Беларусь; Гражданский кодекс Республики Беларусь; Трудовой кодекс Республики Беларусь; Кодекс    об образовании; Налоговый кодекс Республики Беларусь; Закон; иные нормативные правовые акты, регулирующие отношения, связанные  с деятельностью Оператора.

11. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
12. Обработка Оператором персональных данных осуществляется

в следующих целях:

• осуществление деятельности в соответствии с уставом Учреждения;
• формирование базы данных учащихся и сотрудников;
• организация образовательного процесса, предоставление доступа
• к образовательным ресурсам;
• сбора информации через формы обратной связи, сбора статистической информации, администрирования сайта Учреждения, предоставления доступа
• к сервисам, информации и/или материалам, содержащимся на сайте;
• организации пропускного режима;
•  рассмотрения обращений граждан и юридических лиц;
• обеспечение соблюдения законодательства Республики Беларусь;
• ведение кадрового делопроизводства;
• реализация законодательства о борьбе с коррупцией;
• содействие работникам в трудоустройстве, получении образования, обеспечение личной безопасности работников, обеспечение сохранности имущества;
• привлечение и отбор кандидат на работу;
• организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
• осуществление гражданско-правовых отношений;
• осуществление административных процедур.

13. Обработка персональных данных может осуществляться в иных целях, если это необходимо в связи с обеспечением соблюдения законодательства Республики Беларусь.
14. Персональные данные обрабатываются исключительно для достижения одной или нескольких указанных законных целей. Если персональные данные были собраны и обрабатываются для достижения определенной цели, для использования этих данных в других целях необходимо поставить в известность об этом субъекта персональных данных и, в случае необходимости, получить новое согласие на обработку.

ГЛАВА 3

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ,  СОДЕРЖАНИЕ И ОБЪЁМ  ПЕРСОНАЛЬНЫХ ДАННЫХ

15. В Учреждении обрабатываются персональные данные следующих категорий субъектов персональных данных: кандидаты для приема на работу;

работники и бывшие работники Учреждения; члены семьи работников Учреждения; посетители и контрагенты (физические лица); представители юридических лиц; иные субъекты персональных данных (учащиеся и их законные представители).

16. Содержание и объем обрабатываемых персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
17. Персональные данные кандидатов для приема на работу включают следующие сведения:

• фамилия, собственное имя, отчество;
• дата и место рождения;
• сведения о гражданстве (подданстве);
• паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);
• данные свидетельства о рождении работника (членов семьи работника), о браке и о смене фамилии и (или) имени (номер, дата выдачи, наименование органа, выдавшего документ, и др.) (при необходимости);
• пол;
• сведения о семейном положении и составе семьи с указанием ФИО членов семьи, даты рождения, места работы и/или учебы;
• сведения о регистрации по месту жительства (включая адрес, дату регистрации);
• сведения о месте фактического проживания;
• номер и серия страхового свидетельства государственного социального страхования;
• данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
• идентификационный номер;
• сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе);
• специальность, профессия, квалификация;
• сведения о воинском учете;
• сведения о привлечении к административной, уголовной ответственности  и нарушении антикоррупционного законодательства;
• сведения медицинского характера (в случаях, предусмотренных законодательством);
• биометрические персональные данные (включая фотографии);
• сведения о социальных льготах и выплатах;
• контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
• сведения о награждениях и поощрениях;
• иные данные, которые могут быть указаны в резюме или анкете кандидата, и для обеспечения реализации целей обработки персональных данных.

18. Персональные данные работников и бывших работников Учреждения включают следующие сведения:

• фамилия, собственное имя, отчество;
• пол;
• сведения о гражданстве (подданстве);
• дата и место рождения (место проживания);
• изображение (фотография);
• паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные (мобильный, домашний номера телефонов, электронная почта);
• сведения об образовании, квалификации, профессиональной подготовке  и повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы и имуществе работника  и членов его семьи;
• реквизиты банковского карт-счета;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства Республики Беларусь;

19.Персональные данные членов семьи работников Учреждения включают следующие сведения:

• фамилия, собственное имя, отчество;
• степень родства;
• год рождения;
• иные персональные данные, предоставляемые работниками в соответствии  с требованиями трудового законодательства.

20. Персональные данные посетителей и контрагентов (физические лица) включают следующие сведения:

• фамилия, собственное имя, отчество;
• дата и место рождения;
• паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);
• адрес регистрации по месту жительства;
• контактные данные (мобильный, домашний номера телефонов, электронная почта);
• учетный номер плательщика;
• номер расчетного счета;
• иные персональные данные, предоставляемые для заключения и исполнения договоров, и для обеспечения реализации целей обработки персональных данных.

21. Персональные данные представителей юридических лиц включают следующие сведения:

• фамилия, собственное имя, отчество;
• паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);
• контактные данные (мобильный, домашний номера телефонов, электронная почта);
• занимаемая должность;
• иные персональные данные, предоставляемые для заключения и исполнения договоров, и для обеспечения реализации целей обработки персональных данных.

22. Персональные данные иных субъектов персональных данных (учащиеся и их законные представители) включают следующие сведения:

• фамилия, собственное имя, отчество;
• контактные данные (мобильный, домашний номера телефонов, электронная почта);
• паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и др.);
• сведения о регистрации по месту жительства (включая адрес, дату регистрации);
• номер и серия страхового свидетельства государственного социального страхования;
• данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
• реквизиты банковского счета;
• идентификационных номер налогоплательщика;
• иные персональные данные, предоставляемые для заключения и исполнения договоров, и для обеспечения реализации целей обработки персональных данных.

23. К документам, содержащим персональные данные относятся:

• анкета, автобиография, которые заполняются при приеме на работу;
• копия документа, удостоверяющего личность;
• личная карточка работника;
• трудовая книжка или ее копия;
• копии свидетельств о заключении брака, рождении детей;
• документы воинского учета;
• справки о доходах с предыдущего места работы;
• копии документов об образовании;
• копии документов обязательного социального страхования;
• трудовой договор (контракт);
• оригиналы и копии приказов по личному составу;
• материалы по повышению квалификации и переподготовке, аттестации, служебным проверкам;
• копии отчетов, направляемые в органы статистики;
• другие документы, содержащие персональные данные.

24. Обработка Оператором биометрических персональных данных (например, фотографии) осуществляется в соответствии с законодательством Республики Беларусь.
25. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Республики Беларусь.

ГЛАВА 4

ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

26. Обработка персональных данных в Учреждении осуществляется в соответствии с требованиями законодательства Республики Беларусь.

27. Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.
28. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.

Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Согласие субъекта персональных данных может быть получено только в форме и в порядке, предусмотренном законодательством Республики Беларусь.

29. До получения согласия субъекта персональных данных Оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:

• наименование (фамилию, собственное имя, отчество (если таковое имеется))  и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
• цели обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• срок, на который дается согласие субъекта персональных данных;
• информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
• перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
• иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.

30. Оператор обязан до получения согласия субъекта персональных данных простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена Оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

31.Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных настоящим Законом, предоставляется соответствующая информация, касающаяся обработки его персональных данных.

32. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
33. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
34. Обработка персональных данных осуществляется путем:

• получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
• получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;
• получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
• формирования персональных данных в ходе кадровой работы;
• получения персональных данных в ответ на запросы, направляемые Учреждением в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случая и порядке, предусмотренных законодательством;
• получения персональных данных из общедоступных источников;
• фиксации (регистрации) персональных данных в журналах, книгах, реестрах      и других учетных формах;
• внесения персональных данных в информационные системы Учреждения;
• использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Учреждением деятельности.
• использование иных способов обработки персональных данных.

35. Все персональные данные являются конфиденциальными, за исключением общедоступных персональных данных.
36. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, предусмотренных пунктом 2 статьи 8 Закона.
37. Обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
38. Если персональные данные не относятся к категории специальных, то согласие субъекта персональных данных на их обработку не требуется в следующих случаях:

• для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
• для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
• в целях осуществления контроля (надзора) в соответствии с законодательными актами Республики Беларусь;
• при реализации норм законодательства в области национальной безопасности,   о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности  и финансирования распространения оружия массового поражения;
• при реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь, депутата местного Совета депутатов;
• для ведения индивидуального (персонифицированного) учета сведений  о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
• при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
• для осуществления нотариальной деятельности;
• при рассмотрении вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища  и временной защиты в Республике Беларусь;
• в целях назначения и выплаты пенсий, пособий;
• для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
• в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
• при осуществлении учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением  и возмещения расходов на электроэнергию, платы за другие услуги  и возмещения налогов, а также при предоставлении льгот и взыскании задолженности по плате за жилищно-коммунальные услуги, плате   за пользование жилым помещением и возмещению расходов   на электроэнергию;
• при получении персональных данных Оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
• при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных,    в соответствии с содержанием такого документа;
• в целях осуществления законной профессиональной деятельности журналиста   и (или) деятельности средства массовой информации, организации, осуществляющей издательскую деятельность, направленных на защиту общественного интереса, представляющего собой потребность общества     в обнаружении и раскрытии информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде, информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, общественными деятелями, за исключением случаев, предусмотренных гражданским процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса;
• для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
• в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
• в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами Республики Беларусь;
• в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

39. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

40. Оператор вправе поручить обработку персональных данных уполномоченному лицу. При этом уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор. В случае, если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Уполномоченное лицо несет ответственность              перед Оператором.
41. Передача персональных данных в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь.

42. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.
43. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат удалению, если иное не предусмотрено законодательством Республики Беларусь, договором с субъектом персональных данных.

ГЛАВА 5

ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА

44. Субъект персональных данных вправе:

• в любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном статьей 14 Закона, либо в форме, посредством которой получено его согласие;
• получить информацию, касающуюся обработки своих персональных данных, содержащую: наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора; подтверждение факта обработки персональных данных оператором (уполномоченным лицом); его персональные данные             и источник их получения;  правовые основания и цели обработки персональных данных; срок, на который дано его согласие; наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу; иную информацию, предусмотренную законодательством Республики Беларусь;
• требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
• получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами Республики Беларусь;
• требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами Республики Беларусь;

45. Субъект персональных данных также имеет право обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц. Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством Республики Беларусь.
46. Субъект персональных данных для реализации прав, указанных в пункте 44 настоящего Положения, подает Оператору заявление в письменной форме либо в виде электронного документа. Законодательными актами Республики Беларусь может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.

         Заявление субъекта персональных данных должно содержать: фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания); дату рождения субъекта персональных данных; идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется       без согласия субъекта персональных данных; изложение сути требований субъекта персональных данных; личную подпись либо электронную цифровую подпись субъекта персональных данных.

В случае требования субъектом персональных данных внесения изменений в свои персональные данные, к заявлению он прикладывает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

47. Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения после получения заявления субъекта персональных данных не является незаконной.

Печатные издания, аудио- либо видеозаписи программ, радио-, телепрограммы, кинохроникальные программы, иная информационная продукция, содержащие персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат изъятию из гражданского оборота.

48. Все обращения субъектов или их представителей в связи с обработкой их персональных данных регистрируются в соответствующем журнале.
49. Информация, касающаяся обработки персональных данных, и информация о предоставлении персональных данных третьим лицам не предоставляется субъектам персональных данных в случаях, предусмотренных Законом и иными законодательными актами Республики Беларусь.
50. Субъект персональных данных должен:

• предоставлять Учреждению достоверные персональные данные;
• своевременно сообщать Учреждению об изменениях и дополнениях своих персональных данных;
• осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Учреждения в области обработки  и защиты персональных данных;
• исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Учреждения в области обработки      и защиты персональных данных.

51. Оператор обязан:

• разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
• получать согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами Республики Беларусь;
• обеспечивать защиту персональных данных в процессе их обработки;
• предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами Республики Беларусь;
• вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
• прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами Республики Беларусь;
• уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно         о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
• осуществлять изменение, блокирование или удаление недостоверных  или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений  в персональные данные, их блокирования или удаления не установлен законодательными актами;
• исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства  о персональных данных;
• выполнять иные обязанности, предусмотренные Законом и иными законодательными актами Республики Беларусь.

ГЛАВА 6

ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И МЕРЫ ПО ОБЕСПЕЧЕНИЮ ИХ ЗАЩИТЫ

52. Учреждение при осуществлении обязанностей Оператора принимает необходимые правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
53. Обязательными мерами по обеспечению защиты персональных данных являются:

• назначение лица, ответственного за осуществление внутреннего контроля  за обработкой персональных данных;
• издание документов, определяющих политику Оператора в отношении обработки персональных данных;
• ознакомление работников Оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством Республики Беларусь;
• установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
• осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

54. Защита персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке. Защита персональных данных осуществляется в целях: предотвращения утечки, хищения, утраты, искажения, подделки и иных неправомерных действий с персональными данными; защиты прав граждан на сохранение личной тайны и конфиденциальности персональных данных; обеспечения прав субъектов в области персональных данных; обеспечения сохранности имущества Учреждения и его работников.
55. Для защиты персональных данных в Учреждении также осуществляются следующие действия:

• ограничивается и регламентируется состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа           к электронным информационным ресурсам);
• заключаются с лицами, получившими доступ к персональным данным, обязательства о соблюдении порядка обработки персональных данных;
• включаются условия о правах, обязанности и ответственности в области обработки и защиты персональных данных в трудовые и гражданско-правовые договоры, заключенные с лицами, получившими доступ к персональным данным;
• обеспечиваются условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
• ограничивается доступ к информации, составляющей персональные данные, закрепляется порядок обращения с этой информацией, особые условия хранения материальных носителей и информации в электронном виде;
• контролируется соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
• проводится расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников   к ответственности, принятием иных мер;
• обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

56. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого незаконного использования.

Перечень лиц, получающих доступ к персональным данным и осуществляющим их обработку утверждается приказом директора Учреждения.

С лицами, получающими доступ к персональным данным и осуществляющими обработку персональных данных, заключаются трудовые договоры (контракты) или дополнительные соглашения к трудовым договорам (контрактам)          с условием об обеспечении конфиденциальности персональных данных (обязательство по соблюдению установленного порядка обработки персональных данных).

57. Указанные работники получают доступ к персональным данным только после прохождения процедуры допуска. Допуск к конфиденциальным персональным данным включает:

ознакомление работника с законодательством о защите персональных данных, об ответственности за его нарушение, локальными правовыми актами Учреждения в области обработки и защиты персональных данных;

принятие работником обязанности соблюдать режим конфиденциальности персональных данных, к которым он получает доступ, оформление обязательства о соблюдении порядка обработки персональных данных;

принятие работником обязанностей по неразглашению сведений конфиденциального характера после прекращения трудовых отношений;

обязательство не использовать сведения конфиденциального характера в деятельности, не связанной с деятельностью Учреждения.

58. При работе с документами, содержащими персональные данные, запрещается:

• знакомить с ними неуполномоченных лиц;
• использовать информацию из этих документов в открытых сообщениях, докладах, переписке, рекламе;
• предоставлять свой компьютер для работы другим работникам;
• оставлять документы на рабочем месте;
• не выключать компьютер.

59. При хранении персональных данных должны соблюдаться условия, обеспечивающие их сохранность и конфиденциальность, исключающие  возможность их неправомерного использования.
60. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах    с ограниченным доступом в условиях, которые обеспечивают их защиту  от несанкционированного доступа. Перечень мест хранения документов определяется Учреждением.
61. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных                         в электронном виде вне применяемых Учреждением информационных систем   и специально обозначенных Учреждением баз данных (внесистемное хранение персональных данных) не допускается.
62. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого является субъект персональных данных.
63.   Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
64. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).
65.   При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

ГЛАВА 7

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

66. Лица, виновные в нарушении законодательства в области обработки и защиты персональных данных, несут ответственность, предусмотренную законодательными актами Республики Беларусь.
67. Работники Учреждения, виновные в нарушении требований настоящего Положения и иных локальных правовых актов Учреждения в области обработки и защиты персональных данных, несут дисциплинарную ответственность в соответствии с трудовым законодательством Республики Беларусь.
68. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

ГЛАВА 8

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

69. Настоящее Положение вступает в силу с момента его утверждения директором Учреждения и действует до момента прекращения деятельности Учреждения либо до принятия новой редакции Положения.
70. Документы Учреждения, ранее регламентировавшие вопросы порядка обработки персональных данных и их защиты, с момента введения в действие настоящего Положения утрачивают силу.
71. В случае принятия актов законодательства Республики Беларусь, полностью или частично изменяющих порядок обработки персональных данных и их защиты, нормы настоящего Положения подлежат приведению в соответствие с актами законодательства. До приведения настоящего Положения в соответствие с вновь принятыми актами законодательства, его нормы применяются в той части, в которой они не противоречат данным актам законодательства.
72. Если настоящее Положение вступает в коллизию с организационно-распорядительными документами вышестоящей организации, органа государственного управления, подлежащими исполнению, преимущественную силу имеют положения перечисленных выше документов.
73. Во всех случаях, не предусмотренных настоящим Положением, необходимо руководствоваться действующим законодательством Республики Беларусь.
74. Оригинал настоящего Положения находится у директора Учреждения.