Политика обработки персональных данных
Правовое регулирование обработки персональных данных в Республике Беларусь
Желание иметь личную сферу, свободную от вторжения других лиц – естественное стремление человека. Большинство из нас не хотят широко афишировать взаимоотношения в семье, с родственниками, личные пристрастия, размер зарплаты, обладание имуществом, допускаемые правонарушения и др. Причины могут быть самые разные, начиная от опасения стать объектом неправомерных действий и заканчивая боязнью осуждения, насмешек, травли. Поэтому во все времена люди старались оберегать и защищать личные сведения и основным инструментом был контроль над носителями такой информации, ограничение круга осведомленных лиц. Важным элементом были физические границы дома, квартиры, выступающие барьером для нежелательного вмешательства извне.
Но за последние десятилетия ситуация с контролем за своей личной информацией кардинальным образом изменилась. Различные технологии и гаджеты прочно вошли в нашу жизнь, изменив ее традиционный уклад. Сформировалась новая информационная реальность, в рамках которой большинство населения уже не представляет себя без карманных помощников в виде мобильных телефонов, позволяющих быстро найти необходимую информацию, выйти в любое время на связь с нужным человеком, совершить покупки или платежи, не выходя из дома, и др. Неотъемлемым элементом повседневной коммуникации становятся различные социальные сети и мессенджеры. Одновременно происходит повсеместный перенос данных (дублирование данных), содержащихся на физических носителях, в информационные ресурсы.
Но вместе с позитивными изменениями смартфоны, облачные сервисы, социальные сети и технологии больших данных способствуют возникновению нового общества наблюдения, которое создает серьезные угрозы конфиденциальности. В большинстве случаев условием получения интересующих услуг выступает указание своих персональных данных, предоставление согласия на их обработку, согласие с политиками конфиденциальности.
При этом обработка во многих случаях носит непрозрачный и непонятный для человека характер. В таких условиях естественные барьеры приватности (дома, квартиры, физический контроль над носителями личной информации и др.) становятся весьма зыбкими. Граждане постепенно утрачивают контроль над личной информацией, а риски и угрозы для сферы частной жизни возрастают.
К сожалению, законы, в той или иной степени регламентирующие отдельные аспекты защиты персональных данных, принятые в предыдущие годы, зачастую ”не успевают“ за развитием технологий, что приводит к серьезному разрыву между установленными данными законами стандартами защиты прав граждан и реально складывающимися в повседневной жизни ситуациями. В любом случае становится очевидным, что не все, что технически возможно и реализуемо, должно быть разрешено юридически.
(Из Введения в "Постатейный комментарий к Закону Республики Беларусь "О защите персональных данных"" Авторы: А.А.Гаев, В.И.Диско, С.В.Задиран, Е.М.Липлянин, А.А. Парфенчик, И.А Пырко, Н.А.Саванович, Е.В.Синюк, Н.А.Швед, Д.А.Шевчук)
Закон Республики Беларусь 7 мая 2021 г. № 99-З "О защите персональных данных"
Положение о политике государственного учреждения образования «Сморгонский дошкольный центр развития ребенка» в отношении обработки персональных данных
УТВЕРЖДЕНО:
Приказ от 01.09.2023№163
Положение о политике
государственного учреждения образования
«Сморгонский дошкольный центр развития ребенка»
в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.Настоящий документ определяет политику государственного учреждения образования «Сморгонский дошкольный центр развития ребенка» (далее – Сморгонский ДЦРР) в отношении обработки персональных данных (далее – Политика), организованной и (или) осуществляемой самостоятельно или совместно с иными лицами.
Настоящая Политика разработана во исполнение требований абзаца третьего пункта 3 статьи 17 Закона Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных) в целях обеспечения защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.
- В Политике используются термины и определения, в значениях, закрепленных в Законе о защите персональных данных.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Целью Политики является обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.
- Политика действует в отношении всех категорий, обрабатываемых персональных данных (включая биометрические и специальные персональные данные):
в информационных (электронных) ресурсах (системах) учреждения дошкольного образования;
при исполнении договоров;
при рассмотрении обращений;
иных обрабатываемых данных.
- Сморгонский ДЦРР осуществляет обработку персональных данных в соответствии с законодательством, Уставом и Политикой в целях исполнения возложенных на учреждение образования задач и функций, осуществления полномочий.
- Действие положения распространяется на процессы, связанные с защитой персональных данных, происходящие при их обработке, осуществляемой:
с использованием средств автоматизации;
без использования средств автоматизации, в случаях, когда поиск персональных данных и (или) доступ к ним обеспечиваются по определенным критериям (картотеки, списки, базы данных, журналы и другое).
- Сморгонский ДЦРР обеспечивает неограниченный доступ к Политике, в том числе с использованием глобальной компьютерной сети Интернет, посредством ее размещения на официальном сайте учреждения образования в глобальной компьютерной сети Интернет по адресу https://dcrr.smorgon-edu.gov.by , а также в помещении учреждения, расположенном по адресу: Республика Беларусь, 231045 город Сморгонь, ул. Юбилейная, 49.
- Политика предназначена для ознакомления с ней неограниченного круга лиц.
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Сморгонский ДЦРР осуществляет обработку персональных данных, в том числе:
- Конституция Республики Беларусь;
- Гражданский кодекс Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Налоговый кодекс Республики Беларусь;
- Закон о защите персональных данных;
- иные нормативные правовые акты, регулирующие отношения, в сфере законодательства о персональных данных.
- Правовым основанием обработки персональных данных также являются:
- Устав государственного учреждения образования «Сморгонский дошкольный центр развития ребенка»;
- договоры, заключаемые между учреждением образования и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
ГЛАВА 4
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Сморгонский ДЦРР осуществляет обработку персональных данных в соответствии с требованиями законодательства в целях, указанных в Политике.
- Персональные данные хранятся:
на бумажных носителях;
в электронном виде.
- Обработка персональных данных осуществляется Сморгонским ДЦРР совместно с управлением образования Сморгонского районного исполнительного комитета, а также самостоятельно.
- Обработка персональных данных осуществляется Сморгонским ДЦРР с согласия субъекта персональных данных в случаях, установленных статьей 5 Закона о защите персональных данных, и без получения согласия в случаях, установленных статьей 6 Закона о защите персональных данных.
- Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие.
При отсутствии технической возможности удаления персональных данных Сморгонский ДЦРР обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных.
Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения (в соответствии с поданным заявлением об отзыве согласия) не является незаконной.
Печатные издания, аудио- либо видеозаписи программ, радио-, телепрограммы, кинохроникальные программы, иная информационная продукция, содержащие персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат изъятию из гражданского оборота.
- Предоставление персональных данных осуществляется Сморгонским ДЦРР в случаях, установленных законодательством.
- Распространение персональных данных осуществляется Сморгонским ДЦРР в случаях, установленных законодательством.
- Обрабатываемые персональные данные подлежат удалению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
- Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
ГЛАВА 5
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Субъекты персональных данных имеют право:
на отзыв согласия на обработку своих персональных данных;
на получение информации, касающейся обработки своих персональных данных;
требовать от детского сада внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;
на получение информации о предоставлении своих персональных данных третьим лицам;
требовать прекращения обработки своих персональных данных;
требовать удаления своих персональных данных;
обжаловать действия (бездействие) и решения детским садом, связанные с обработкой своих персональных данных;
осуществлять иные права, предусмотренные законодательством.
- Субъект персональных данных для реализации перечисленных в пункте 20 Политики прав подает заявление в письменной форме либо в виде электронного документа в детский сад порядке, установленном статьей 14 Закона о защите персональных данных. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.
Заявление субъекта персональных данных должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия детскому саду или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
- Сморгонский ДЦРР обязан в пятнадцатидневный срок после получения заявления об отзыве согласия на обработку персональных данных субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о защите персональных данных и иными законодательными актами.
Сморгонский ДЦРР обязан в течение пяти рабочих дней после получения заявления о получении информации, касающейся обработки персональных данных, субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, указанную в части первой пункта 1 статьи 11 Закона о защите персональных данных, либо уведомить его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.
Сморгонский ДЦРР обязан в пятнадцатидневный срок после получения заявления о внесении изменений в персональные данные субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.
Сморгонский ДЦРР обязан в пятнадцатидневный срок после получения заявления о получении информации о предоставлении персональных данных третьим лицам субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении.
ГЛАВА 6
ОБЯЗАННОСТИ ОПЕРАТОРА
- Сморгонский ДЦРР, помимо обязанностей, закрепленных в Главе 5 Политики, обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.
ГЛАВА 7
ОБЖАЛОВАНИЕ ДЕЙСТВИЙ (БЕЗДЕЙСТВИЯ) И РЕШЕНИЙ СМОРГОНСКОГО ДЦРР, СВЯЗАННЫХ С ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Субъект персональных данных вправе обжаловать действия (бездействие) и решения Сморгонского ДЦРР, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
- Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.
ГЛАВА 8
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
- Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется уполномоченным органом по защите прав субъектов персональных данных.
ГЛАВА 9
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Сморгонский ДЦРР при обработке персональных данных руководствуется законодательством и принимает необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Сморгонский ДЦРР принимает меры, необходимые и достаточные для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона о защите персональных данных и иных актов законодательства, в том числе обязательные меры в соответствии с пунктом 3 статьи 17 Закона о защите персональных данных, в частности: осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
- Сморгонский ДЦРР осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором.
Политика видеонаблюдения
УТВЕРЖДЕНО
Приказ от 01.06.2024 № 57
Политика видеонаблюдения
государственного учреждения образования «Сморгонский дошкольный центр развития ребенка»
- Настоящая Политика определяет порядок организации системы видеонаблюдения в государственном учреждении образования «Сморгонский дошкольный центр развития ребенка» (далее – учреждение образования).
- Политика разработана с целью разъяснения субъектам персональных данных целей обработки их изображений, зафиксированных на камеру(ы) видеонаблюдения, установленную(-ые) в учреждении образования, и отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
- В учреждении образования видеонаблюдение ведется при помощи камер открытого видеонаблюдения.
Субъекты персональных данных информируются об осуществлении видеонаблюдения в конкретных местах путем размещения специальных информационных табличек в зонах видимости видеокамер.
- Политика доводится до сведения субъектов персональных данных (работников, обучающихся, их законных представителей, посетителей и других лиц) путем ее размещения на официальном сайте учреждения образования.
- В учреждении образования видеонаблюдение
5.1. осуществляется для целей:
5.1.1. для охраны имущества и физических лиц и организации пропускной системы в соответствии с Законом Республики Беларусь от 8 ноября 2006 г. № 175-З ”Об охранной деятельности в Республике Беларусь“ и иными актами законодательства в сфере охранной деятельности;
5.1.2. проведения личного приема граждан в соответствии с пунктом 6 статьи 6 Закона Республики Беларусь от 18 июля 2011 г. № 300-З ”Об обращениях граждан и юридических лиц“[1].
5.2. не используется для:
5.2.1. учета фактически отработанного работниками учреждения образования рабочего времени;
5.2.2. уникальной идентификации лиц, изображенных на видеозаписи;
5.2.3. записи звука.
- Видеонаблюдение не ведется:
в помещениях пребывания воспитанников учреждения дошкольного образования, в том числе комнатах отдыха (спальнях);
в местах и помещениях, предназначенных для личных нужд воспитанников, обучающихся, работников, и иных лиц (столовые (места приема пищи), раздевалки, туалеты и т.д.).
- Также на территории учреждения образования установлены видеокамеры для целей обеспечения общественной безопасности и общественного порядка в соответствии Указом Президента Республики Беларусь от 28 ноября 2013 г. № 527 ”О вопросах создания и применения системы видеонаблюдения в интересах обеспечения общественного порядка“ (далее – Указ № 527), постановлениями Совета Министров Республики Беларусь от 11 декабря 2012 г. № 1135 ”Об утверждении Положения о применении систем безопасности и систем видеонаблюдения“, от 30 декабря 2013 г. № 1164 ”О критериях отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности“.
Обработка видеозаписей с видеокамер, установленных для указанных целей, учреждением образования не осуществляется.
- Срок хранения видеозаписей составляет 30 дней, по истечении которого происходит их удаление/автоматическое удаление.
Если получена информация о возможной фиксации камерами видеонаблюдения ситуации, имеющей признаки совершения дисциплинарного проступка, административного правонарушения, преступления, по устному/письменному поручению заведующего учреждением образования (лица, исполняющего его обязанности) для таких видеозаписей срок хранения может быть продлен на период проведения соответствующих мероприятий.
- Видеозаписи не могут быть использованы работниками в личных и иных целях, не связанных с использованием трудовых (служебных) обязанностей.
- Субъект персональных данных имеет право:
10.1. на получение информации, касающейся обработки своих персональных данных учреждением образования, содержащей:
сведения о наименовании и месте нахождения учреждения образования;
подтверждение факта обработки персональных данных субъекта персональных данных в учреждении образования;
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
иную информацию, предусмотренную законодательством;
10.2. на получение от учреждения образования информации о предоставлении своих персональных данных, обрабатываемых в учреждении образования, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
10.3. на обжалование действий (бездействия) и решений учреждения образования, нарушающих его права при обработке персональных данных, в Национальный центр по защите персональных данных Республики Беларусь, в суд в порядке, установленном гражданским процессуальным законодательством.
- Для реализации своих прав, связанных с обработкой изображения субъекта персональных данных, зафиксированного камерами видеонаблюдения, расположенными в учреждения образования субъект персональных данных подает в учреждение образования, заявление в письменной форме (почтой/нарочно) или в виде электронного документа.
Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
В связи с тем, что в учреждении образования видеонаблюдение не используется для уникальной идентификации лиц, изображенных на видеозаписи, а срок хранения видеозаписей составляет 30 дней, если иное не определено в части второй пункта 8 настоящей Политики, изложение сути требований субъекта персональных данных о предоставлении ему информации, касающейся обработки его персональных данных должно содержать дату, время (период времени) и место записи изображения субъекта персональных данных. Период времени определяется в пределах часового интервала.
- Учреждение образования не рассматривает заявления субъектов персональных данных:
12.1. не соответствующие требованиям пункта 11 настоящей Политики, в том числе направленные иными способами (e-mail, телефон, факс и т.п.).
12.2. в отношении обработки персональных данных для целей, определенных пунктом 7 настоящей Политики.
13. За содействием в реализации прав, связанных с обработкой персональных данных в учреждении образования, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в учреждении образования, по телефону: 8(01592) 3 96 81