УТВЕРЖДЕНО приказом директора ГУО «Гимназия № 2 г. Витебска» от 15.11.2021 № 273 |
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
в государственном учреждение образования
«Гимназия № 2 г. Витебска»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Политика в отношении обработки и защиты персональных данных (далее - Политика) определяет политику Государственного учреждения образования «Гимназия № 2 г. Витебска" (далее – Оператор), расположенного по адресу: 210001, г. Витебск, ул. Комсомольская, дом 23, в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
2. Настоящая Политика определяет основные понятия, права и обязанности Оператора и субъекта персональных данных, категории субъектов персональных данных, содержание и объём персональных данных, используемых Оператором в обработке, порядок обработки Оператором персональных данных работников, обучающихся и их законных представителей, включая в себя сбор, систематизацию, накопление, хранение, использование, изменение (дополнение, уточнение, обновление) передачу, извлечение, защиту, уничтожение.
3. Политика и изменения к ней утверждаются директором ГУО «Гимназия № 2 г. Витебска».
4. Политика разработана на основе и во исполнение:
- Конституции Республики Беларусь;
- Трудового кодекса Республики Беларусь;
- Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее - Закон о защите персональных данных);
- Решения Конституционного Суда Республики Беларусь от 29.04.2021 N Р-1261/2021 «О соответствии Конституции Республики Беларусь Закона Республики Беларусь «О защите персональных данных»;
- Закона Республики Беларусь от 21.07.2008 N 418-З «О регистре населения»;
- Закона Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации»;
- Закон Республики Беларусь от 18.06.1993 N 2435-XII «О здравоохранении»;
- иных нормативных правовых актов Республики Беларусь.
Иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
5. Во исполнение требований п. 4 ст.17 Закона о персональных данных Политика публикуется в свободном доступе в информационно-телекоммуникативной сети Интернет на официальном сайте Гимназии.
6. Политика служит основой для разработки локальных правовых актов, регламентирующих в ГУО «Гимназия № 2 г. Витебска» вопросы обработки персональных данных работников Учреждения и других субъектов персональных данных.
7. Передача персональных данных третьим лицам (кроме уполномоченных лиц) без письменного согласия не допускается.
8. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
9. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Республики Беларусь. Ограничение прав граждан Республики Беларусь на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено.
10.Юридическиеи физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получившие и использующие её несут ответственность в соответствии с законодательством Республики Беларусь за нарушение режима защиты, обработки и порядка использования этой информации.
11. Политика является локальным правовым актом ГУО «Гимназия № 2 г. Витебска», обязательным для соблюдения и исполнения работниками, а также иными лицами, участвующими в обработке персональных данных в соответствии с настоящим Политикой.
ГЛАВА 2
ОСНОВНЫЕ ПОНЯТИЯ
В настоящей Политике используются следующие основные термины и их определения:
Оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, обновление (изменение, уточнение, дополнение), использование, обезличивание, блокирование, распространение (передачу), предоставление, доступ, удаление, уничтожение персональных данных.
Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
Информация - сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.
Физическое лицо, которое может быть идентифицировано - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ и ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
- работников, бывших работников Гимназии;
- родственников (членов семьи) работников Гимназии;
- кандидатов для приема на работу в Гимназию, (соискателей на должность);
- учащихся, бывших учащихся Гимназии и их законные представителей;
- лиц, предоставивших Гимназии персональные данные путем оформления подписок на рассылку, обращений, заполнении анкет.
- иных субъектов, взаимодействие которых с Гимназией создает необходимость обработки персональных данных.
2. Оператор обрабатывает следующие категории персональных данных:
- общедоступные персональные данные
- специальные персональные данные
- биометрические персональные данные
Обработка всех категорий персональных данных производится в рамках (объёмах), на основании и в соответствии с требованиями законодательства Республики Беларусь о персональных данных.
ГЛАВА 4
СОДЕРЖАНИЕ И ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Содержание и объем персональных данных каждой категории субъектов персональных данных определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Оператора реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта персональных данных для осуществления образовательной деятельности по реализации основных и дополнительных образовательных программ, обеспечения безопасности, укрепления здоровья учащихся, создания благоприятных условий разностороннего развития личности, в том числе обеспечения отдыха и здоровья учащихся, выполнения функций и полномочий работодателя в трудовых отношениях, выполнения функций и полномочий экономического субъекта персональных данных, при осуществлении бухгалтерского и налогового учёта.
К персональным данным субъекта (работающего (бывшего работника), соискателя на должность, обучающихся и их законных представителей) которые обрабатываются Оператором относят (включая, но не ограничиваясь):
- фамилию, имя, отчество;
- дату рождения;
- пол, рост, вес
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ);
- сведения, содержащиеся в свидетельстве о рождении;
- сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- номер и серию страхового свидетельства государственного социального страхования;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- сведения о социальных льготах и выплатах;
- контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты);
- идентификационный номер налогоплательщика;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- сведения о стаже работы (общем стаже работы, стаже работы в бюджете, по специальности, в отрасли, льготном стаже);
- сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе, периоде работы, причины увольнения);
- специальность, профессию, должность, квалификацию;
- сведения о воинском учете;
- данные об аттестации работников;
- информация о приеме на работу, перемещении по должности, увольнении;
- сведения о наличии судимости, привлечения к административной и дисциплинарной ответственности (кроме случаев, предусмотренных законодательством);
- биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
- фотографии и видеоролики мероприятий Оператора;
- сведения о награждениях и поощрениях;
- сведения, предоставленные самим кандидатом в ходе заполнения личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
- иные данные, которые могут быть указаны в резюме или анкете кандидата.
- данные виз и иных документов миграционного учета;
- реквизиты банковского счета (карт-счёта);
- сведения о заработной плате;
- содержание и сроки трудового договора (контракта);
- сведения о фактически отработанном времени (табели);
- сведения о времени нахождения на рабочем месте;
- составе декларируемых сведений о наличии материальных ценностей;
- подлинники и копии приказов по личному составу;
- информация, содержащаяся в личном деле работника, обучающегося;
- сведения о статусе семьи (ребенок-сирота, родители-инвалиды, ребенок из многодетной семьи);
- технологическая информация, подлежащая защите, включает:
а) технологическую информацию средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа);
б) информация на съёмных носителях информации, содержащая базы данных, файлы с персональными данными субъектов персональных д анных.
ГЛАВА 5
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка Оператором персональных данных субъектов осуществляется в следующих целях:
- осуществление и выполнение функций, полномочий и обязанностей, возложенных на Оператора законодательством Республики Беларусь;
- обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Оператора;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- формирование базы сотрудников, обучающихся, их законных представителей;
- организации образовательного процесса (проведение олимпиад, консультационных семинаров, дистанционного обучения, направления работ сотрудников, обучающихся на конкурсы, конференции и др.)
- предоставление информации о контингенте обучающихся;
- обеспечение учёта обучающихся в организации;
- обеспечение формирования набора данных об этапах обучения, достижениях обучающихся при их обучении в Гимназии, включая результаты дополнительного образования;
- ведения электронного дневника и электронного журнала успеваемости;
- проверка соискателя на должность;
- привлечения и отбора кандидатов на работу у Оператора;
- трудоустройства;
- заключения и исполнения гражданско-правовых, трудовых договоров (контрактов);
- содействие работникам в получении образования, повышения квалификации;
- соблюдения режима работы рабочего времени;
- ведение кадрового резерва;
- организации постановки на индивидуальный (персонифицированный) учет в системе обязательного пенсионного страхования;
- заполнения и передачи требуемых форм отчётности;
- ведения бухгалтерского учёта;
- выплата заработной платы;
- предоставление родственникам работников льгот и компенсаций (назначения пособий);
- заключения и исполнения договоров;
- обеспечение безопасности, сохранение материальных ценностей и предотвращение правонарушений;
- оформление доверенностей и иных уполномочивающих документов;
- обеспечение сохранности имущества;
- ведение внутрикорпоративной коммуникации и организации рабочих процессов;
- повышения доступности для населения информации о Гимназии и оказываемых ей услугах через государственные информационные порталы и соцсети;
- предоставление доступа к образовательным ресурсам и обучающим платформам;
- проведение мероприятий и обеспечение участия в них субъектов персональных данных;
- организация и сопровождение деловых поездок;
- автоматизации работы библиотеки;
- для организации питания в Гимназии;
- проведения мониторинга деятельности гимназии;
- рассмотрения обращения граждан и юридических лиц;
- обеспечения пропускного и внутриобъектового режимов на территории Оператора;
- размещение информации, фото и видео изображений на сайте, социальных сетях, стендах Оператора;
- администрирования сайта, социальных сетей Оператора;
- иные цели, направленные на обеспечение соблюдения трудовых функций, договоров, законов и иных нормативных правовых актов.
ГЛАВА 6
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общие требования к обработке персональных данных.
1.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.
1.2. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая (сбор, систематизацию, накопление, хранение, уточнение (изменение, обновление, дополнение), передачу третьим лицам (в рамках трудовых функций, учебного процесса), извлечение, обезличивание, удаление, уничтожение) персональных данных сотрудников
1.3. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и сети Интернет.
Оператор обрабатывает персональные данные в следующих электронных базах:
Республиканских - СМДО, ПКШ, ОШ, 1-Т - кадры Белстат, Портал Фонда, Ввод ДПУ.
Межорганизационных - Кадры ВОИРО, 1-С Бухгалтерия;
Внутренних электронных базах Оператора, в рамках трудовой деятельности.
1.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.
1.5. Печатные издания, аудио либо видео записи программ, радио и телепередач. Кинохроника, иная информационная (стендовая) продукция, содержащая персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат уничтожению и изъятию.
1.6. В случае обработки персональных данных без согласия субъекта персональных данных, цели обработки персональных данных устанавливаются согласно Закона о защите персональных данных и иных законодательных актов.
1.7. Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.
1.8. В случае необходимости изменения первоначально заявленной цели (использования ранее полученных персональных данных с другой целью) необходимо получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями, при отсутствии иных оснований для такой обработки, предусмотренных законодательством Республики Беларусь.
1.9. Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
1.10. Обработка персональных данных должна производиться не дольше, чем этого требуют установленные согласием субъекта сроки, если иное не установлено законодательством Республики Беларусь;
1.11. Обработка персональных данных должна носить прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;
1.12. Обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
1.13. Обработка персональных данных прекращается при наступлении одного или нескольких событий:
- поступление от субъекта персональных данных отзыва согласия (заявления) на обработку его персональных данных в установленном порядке;
- истечение срока действия согласия субъекта персональных данных;
- достижения цели их обработки;
- обнаружения неправомерной обработки персональных данных;
- прекращения деятельности организации;
- Сбор персональных данных, согласие субъекта персональных данных
2.1. Источником информации обо всех персональных данных является непосредственно субъект персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором.
2.2. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта Оператор получает от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на обработку персональных данных.
2.3. В случае смерти субъекта персональных данных, объявления его умерщим согласие на обработку его персональных данных дают один из наследников, близких родственников. Усыновителей (удочерителей), усыновлённых (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
2.4. Если иное не установлено Законом о защите персональных данных, Оператор вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
Уведомление субъекта персональных данных о получении его персональных данных от третьих лиц должно содержать:
a) наименование Оператора и адрес его местонахождения;
б) цель обработки персональных данных и ее правовое основание;
в) предполагаемые пользователи персональных данных;
г) установленные законом права субъекта персональных данных;
д) источник получения персональных данных.
2.5. Согласие субъекта персональных данных представляет собой однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих данных.
2.6. Согласие субъекта персональных данных может быть получено как в письменной форме (путем собственноручного подписания согласия), так и в форме электронного документа в электронной форме, в том числе проставлением галочки (если согласие оформляется через официальные интернет-ресурсы Оператора), других способов, позволяющих установить факт получения согласия субъекта персональных данных.
2.7. Оператор при получении согласия заранее предоставляет (вносит) следующую информацию в письменной (электронной) форме:
- наименование, место нахождения Оператора, получающего согласие субъекта персональных данных;
- цели обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- информацию об уполномоченных лицах, в случаях, если обработка персональных данных будет передаваться и осуществляться такими лицами;
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных.
- иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
2.8. Субъект персональных данных при даче своего согласия указывает:
- фамилию, собственное имя, отчество (если таковое имеется);
- дату рождения;
- идентификационный номер, а в случае отсутствия такого номера - номер документа, удостоверяющего его личность;
- подпись субъекта персональных данных;
- дату подписания согласия;
2.9. Если цели обработки персональных данных не требуют обработки информации, эта информация не подлежит обработке Оператором при получении согласия субъекта персональных данных.
2.10. Согласие на обработку персональных данных субъекта может быть отозвано субъектом персональных данных или его законным представителем путём подачи письменного заявления.
2.11. Обязанность доказывания получения согласия возлагается на Оператора.
- Обработка персональных данных
без согласия субъекта персональных данных
Согласие субъекта персональных данных на обработку его персональных данных, за исключением специальных персональных данных, не требуется в следующих случаях, в соответствии со статьёй 6 и 8 Закона о защите персональных данных:
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
в целях осуществления контроля (надзора) в соответствии с законодательными актами;
при реализации норм законодательства в области национальной безопасности, борьбы с коррупцией, предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
при реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь, депутата местного Совета депутатов;
для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
для осуществления нотариальной деятельности;
при рассмотрении вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь;
в целях назначения и выплаты пенсий, пособий;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
при осуществлении учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещения расходов на электроэнергию, платы за другие услуги и возмещения налогов, а также при предоставлении льгот и взыскании задолженности по плате за жилищно-коммунальные услуги, плате за пользование жилым помещением и возмещению расходов на электроэнергию;
при получении персональных данных Оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном Оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
в целях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации, организации, осуществляющей издательскую деятельность, направленных на защиту общественного интереса, представляющего собой потребность общества в обнаружении и раскрытии информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде, информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, общественными деятелями, за исключением случаев, предусмотренных гражданским процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением следующих случаев (ст.8 Закона о защите персональных данных):
если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
при обработке общественными объединениями, политическими партиями, профессиональными союзами, религиозными организациями персональных данных их учредителей (членов) для достижения уставных целей при условии, что эти данные не подлежат распространению без согласия субъекта персональных данных;
в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов, совершения исполнительной надписи, оформления наследственных прав;
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, обороны, борьбы с коррупцией, борьбы с терроризмом и противодействии экстремизму, предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, законодательством о Государственной границе Республики Беларусь, гражданстве, порядке выезда из Республики Беларусь и въезда в Республику Беларусь, статусе беженца, дополнительной защите, убежище и временной защите в Республике Беларусь;
в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;
в целях ведения криминалистических учетов;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
для осуществления административных процедур;
в связи с реализацией международных договоров Республики Беларусь о реадмиссии;
при документировании населения;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
- Обработка персональных данных по поручению оператора
Организация вправе поручить обработку персональных данных уполномоченному лицу.
Уполномоченное лицо обязано соблюдать требования к обработке персональных данных, предусмотренные законодательством Республики Беларусь.
В договоре между Оператором и уполномоченным лицом, акте законодательства либо решении государственного органа должны быть определены:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Оператора необходимо получение согласия субъекта персональных данных, такое согласие получает Оператор.
В случае если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.
- Передача персональных данных
Передача персональных данных субъектов третьим лицам допускается в минимально необходимых объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
Передача персональных данных третьим лицам, в том числе в коммерческих целях, допускается только при наличии согласия субъекта либо иного законного основания.
При передаче персональных данных третьим лицам субъект должен быть уведомлен о такой передаче, за исключением случаев, определенных законодательством.
Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
Лица, получающие персональные данные, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с соблюдением режима конфиденциальности. Оператор вправе требовать от этих лиц подтверждение того, что это правило соблюдено.
В случаях, когда государственные органы имеют право запросить персональные данные или персональные данные должны быть предоставлены в силу законодательства, а также в соответствии с запросом суда, соответствующая информация может быть им предоставлена в порядке, предусмотренном действующим законодательством Республики Беларусь.
- Хранение, актуализация, исправление, дополнение и уничтожение персональных данных.
Оператор хранит документы, содержащие персональные данные в течение срока, необходимого для достижения целей и в течение установленного законодательством Республики Беларусь сроков, для хранения документов в архивах Оператора, согласно номенклатуры дел.
При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Оператором информационных систем и специально обозначенных Оператором баз данных (внесистемное хранение персональных данных) не допускается.
При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.
Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь.
В случае выявления неточных персональных данных при обращении субъекта персональных данных, получения от него заявления или по запросу уполномоченного органа по защите прав субъектов персональных данных, Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента получения указанного заявления или запроса на период проверки.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет (изменяет, дополняет) персональные данные в течение 15 дней со дня предоставления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных при получении заявления субъекта персональных данных либо запроса уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, с момента такого обращения или получения заявления (запроса).
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения, если иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных или законодательством.
Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).
При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Решение об уничтожении документов (носителей) с персональными данными принимает комиссия, состав которой утверждается приказом директора гимназии.
Документы (носители), содержащие персональные данные уничтожаются по акту о выделении документов к уничтожению, подписанному членами комиссии.
Уничтожение документов (носителей), содержащих персональные данные производится путём сожжения, дробления (измельчения).
Персональные данные на электронных носителях уничтожаются путём стирания или форматирования носителя.
- Обработка персональных данных без использования средств автоматизации
Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.
- Обработка персональных данных с использованием средств автоматизации
Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в компьютерной сети Оператора (далее - КСО). Безопасность персональных данных при их обработке в КСО обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в КСО информационные технологии.
Работа с персональными данными в КСО должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.
Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа.
Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе сети Интернет, запрещается.
При обработке персональных данных в КСО пользователями должно быть обеспечено:
а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;
б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
- Учет, хранение и обращение со съемными носителями персональных данных
При работе со съемными носителями, содержащими персональные данные (диски, дискеты, USB-флеш-накопители, пр.), запрещается:
- хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
- выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т.д.
При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только разрешения руководителя структурного подразделения ответственного по направлениям в Гимназии.
О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено директору Организации. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.
ГЛАВА 5
ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Доступ к персональным данным предоставляется только тем работникам Организации, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными. Перечень таких лиц определяется Организацией.
В случае возникновения необходимости предоставить доступ к персональным данным работникам, не входящих в перечень лиц с доступом к персональным данным, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению директора общества или иного лица, уполномоченного на это директором общества. Соответствующие работники должны быть ознакомлены под подпись со всеми локальными правовыми актами Организации в области персональных данных, а также должны подписать обязательство неразглашения персональных данных.
Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе путем ознакомления с настоящей Политикой) о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящей Политикой.
Работникам Организации, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным запрещается.
При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
ГЛАВА 6
ЗАЩИТА И КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
Защита персональных данных
Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
a) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
б) соблюдение конфиденциальности информации ограниченного доступа;
в) реализацию права на доступ к информации.
Для защиты персональных данных Оператор принимает необходимые предусмотренные законом меры (включая, но не ограничиваясь):
a) ограничивает и регламентирует состав работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные (в том числе путем использования паролей доступа к электронным информационным ресурсам);
б) обеспечивает условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
в) организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных;
г) контролирует соблюдение требований по обеспечению безопасности персональных данных, в том числе установленных настоящей Политикой (путем проведения внутренних проверок, установления специальных средств мониторинга и др.);
д) проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности, принятием иных мер;
е) внедряет программные и технические средства защиты информации в электронном виде;
7.7.5. В Организации принимаются иные меры, направленные на обеспечение выполнения Организацией обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
Обеспечение конфиденциальности персональных данных
Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Организации, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Обеспечение конфиденциальности персональных данных не требуется в случае:
- обезличивания персональных данных (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных);
- для общедоступных персональных данных (персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов).
Перечни персональных данных и ответственных за хранение и обработку персональных данных утверждаются приказом директора Организации. Обработка и хранение конфиденциальных данных лицами, не указанными в приказе, запрещается.
Должностным лицам Организации, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью.
При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители, пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.
Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по форме, установленной Оператором.
Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам.
Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством или если это вызвано служебной необходимостью, запросом и требованием вышестоящей организации, непосредственно в чьём подчинении находится Оператор.
Должностные лица Оператора, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) главному специалисту по информационной безопасности обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.
ГЛАВА 7
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА и СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Основные права и обязанности Оператора
Оператор имеет право:
Поручить обработку персональных данных уполномоченному лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора.
Использовать персональные данные Субъектов без их согласия в случаях, предусмотренных законом Республики Беларусь «О защите персональных данных», иными нормативными законодательными актами.
Предоставлять персональные данные Субъектов третьим лицам в случаях, предусмотренных законодательством.
Оператор вправе при необходимости в одностороннем порядке устанавливать правила обработки персональных данных в Организации, вносить изменения и дополнения в настоящую Политику, с последующим размещением на официальном сайте Оператора, самостоятельно в рамках требований законодательства разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора.
Субъекты персональных данных самостоятельно получают на сайте информацию об изменениях Политики.
Оператор имеет право осуществлять проверку точности, достоверности и актуальности предоставляемых персональных данных в случаях, объеме и порядке, предусмотренных законодательством.
Осуществлять иные права, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных.
Оператор обязан:
Организовать обработку персональных данных в соответствии с требованиями Закона о персональных данных.
Получать согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательством.
Обеспечивать защиту персональных данных в процессе их обработки.
Разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных.
Разъяснять субъектам персональных данных, их законным представителям юридические последствия отказа предоставления персональных данных.
Оператор обязан в течение пяти рабочих дней после получения соответствующего заявления Субъекта персональных данных, если иной срок не установлен законодательными актами, предоставлять ему в доступной форме информацию о:
наименовании и место нахождения Оператора;
подтверждение факта обработки персональных данных Оператором;
его персональные данные и источник его получения;
правовые основания и цели обработки его персональных данных;
срок, ан который дано его согласие;
наименование и место нахождения уполномоченного лица (организации), если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством.
Предоставляется такая информация бесплатно, за исключением случаев, предусмотренных законодательными актами.
Информация не предоставляется:
- Если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;
- Если обработка персональных данных осуществляется:
в соответствии с законодательством о государственной статистике;
в соответствии с законодательством в области национальной безопасности, об обороне, борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму;
в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;
в иных случаях, предусмотренных законодательными актами.
Оператор обязан в пятнадцатидневный срок после получения заявления Субъекта персональных данных 1 раз в календарный год бесплатно, если иное не предусмотрено законодательством, предоставлять ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить Субъекта персональных данных о причине отказа в ее предоставлении.
Оператор обязан прекращать обработку, персональных данных, а так же осуществлять их удаление или блокирование на основании и в соответствии с требованиями Закона о защите персональных данных.
В случае получения заявления Субъекта персональных данных в соответствии с его содержанием в пятнадцатидневный срок Оператор обязан прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных.
Оператор обязан вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
В случае получения заявления Субъекта персональных данных в пятнадцатидневный срок Оператор обязан внести соответствующие изменения в его персональные данные и уведомить об этом Субъекта персональных данных.
Сообщать в уполномоченный орган по защите прав Субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее 3-х рабочих дней после того, как Оператору стало известно о таких нарушениях.
Исполнять требования уполномоченного органа по защите прав Субъектов персональных данных об устранении нарушений законодательства о персональных данных.
Отвечать на обращения и запросы Субъектов персональных данных в соответствии с требованиями Закона о персональных данных.
Ответственность за нарушение требований законодательства Республики Беларусь и локальных правовых актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.
Основные права и обязанности субъекта персональных данных
Субъект персональных данных имеет право:
Получать информацию, касающуюся обработки его персональных данных содержащую:
- наименование (фамилию, собственное имя, отчество (если таковое имеется)) и - место нахождения (адрес места жительства (места пребывания)) Оператора;
- подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано его согласие;
- наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством;
В любое время без объяснения причин отозвать свое согласие посредством подачи Оператору заявления в порядке, установленном ст. 14 Закона о защите персональных данных;
Требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает Оператору заявление в порядке, установленном ст. 14 Закона о защите персональных данных, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные;
Получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.
Для получения указанной информации субъект персональных данных подает заявление Оператору.
Заявление субъекта персональных данных должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных;
Требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами. Для реализации указанного права субъект персональных данных подает Оператору заявление в порядке, установленном Законом о защите персональных данных;
Обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.
Субъект персональных данных обязан:
Предоставлять Организации достоверные персональные данные;
Своевременно сообщать Организации об изменениях и дополнениях своих персональных данных;
Осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных;
Исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Организации в области обработки и защиты персональных данных.
ГЛАВА 8
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ГИМНАЗИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
С настоящей Политикой должны быть ознакомлены под подпись все работники Гимназии и лица, выполняющие работы по договорам и контрактам, имеющие отношение к обработке персональных данных работников Организации.
Директор гимназии приказом назначает ответственного по гимназии за осуществление внутреннего контроля за обработкой персональных данных, а так же ответственных по направлениям работы в гимназии.
Контроль за соблюдением работы по направлениям в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях Гимназии, законодательству Республики Беларусь и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
Должностные лица Оператора, виновные в нарушении норм регулирующих обработку и защиту персональных данных, несут дисциплинарную ответственность в виде увольнения в соответствии с пунктом 10 части первой статьи 47 Трудового кодекса Республики Беларусь.