Защита персональных данных

Политика государственного учреждения образования "Бабиничский детский сад Витебского района" в отношении обработки персональных данных

ПОЛИТИКА 

ГУО  "Бабиничский детский сад Витебского района"

в отношении обработки персональных данных

  ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

  1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) подготовлена во исполнение требований Закона Республики Беларусь от 7 мая 2021 г. № 99-3 «О защите персональных данных» (далее – Закон о защите персональных данных), определяет порядок обработки персональных данных государственным учреждением образования "Бабиничский детский сад Витебского района"(далее – Оператор, Бабиничский детский сад) и меры по обеспечению защиты и безопасности персональных данных, принимаемые Оператором.
  2. Политика действует в отношении всех процессов обработки персональных данных, которые ГУО  "Бабиничский детский сад Витебского района" получает о субъектах персональных данных от работников, их обрабатывающих.
  3. Целью настоящей Политики является обеспечение надлежащей защиты персональных данных от несанкционированного доступа и разглашения, соблюдение прав и свобод гражданина при обработке его персональных данных, в том числе обеспечение защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  4. Передавая Оператору персональные данные, субъект персональных данных подтверждает своё согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике.
  5. В настоящей Политике используются следующие основные термины:

- обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

- оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;

- персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

- предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

- распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

- субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных: обучающиеся и их законные представители, работники Бабиничского детского сада, кандидаты на трудоустройств;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.

 

ГЛАВА 2

ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Обработка персональных данных осуществляется на основе следующих принципов:

- согласия субъекта персональных данных (одного из законных представителей лица, не достигшего возраста шестнадцати лет), за исключением случаев, установленных законодательством. Согласие субъекта персональных данных оформляется в письменной форме в момент его зачисления в состав воспитанников Бабиничского детского сада, трудоустройства или заключения договорных отношений с ГУО  "Бабиничский детский сад Витебского района". Субъект персональных данных дает согласие на обработку персональных данных на неопределенный срок, если иное не предусмотрено законодательством;

- достижения конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

- точности, достаточности и актуальности по отношению к заявленным целям обработки;

- прозрачности характера целей сбора информации субъекта персональных данных;

- защиты персональных данных в период их сбора и хранения.

  1. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

 

ГЛАВА 3

ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Целями обработки Оператором персональных данных являются:

- заключение с субъектами персональных данных любых видов договоров и их последующее исполнение;

- анализ работы Бабиничского детского сада, в том числе посредством проведения опросов и иных исследований;

- формирование справочных и аналитических материалов для самоконтроля и информационного обеспечения деятельности Бабиничского детского сада;

- организация мероприятий и обеспечение участия в них субъектов персональных данных;

- использование персональных данных в целях информирования субъектов персональных данных по вопросам деятельности Бабиничского детского сада;

- обеспечение пропускного режима, безопасности, сохранения материальных ценностей и предотвращение правонарушений в Бабиничском детском саду;

- ведение кадровой работы и организация учета работников Бабиничского детского сада;

- осуществление административных процедур;

- ведение индивидуального (персонифицированного) учета застрахованных лиц;

- ведение бухгалтерского и налогового учета;

- начисление и перечисление заработной платы, назначение и выплата пособий;

- обработка персональных данных в целях назначения пенсий;

- осуществление хозяйственной деятельности;

- заполнение и передача в государственные органы и иные уполномоченные организации требуемых форм отчетности;

- выполнение иных обязанностей (полномочий), предусмотренных законодательными актами.

 

ГЛАВА 4

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ

  1. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:

- работники Бабиничского детского сада, бывшие работники Бабиничского детского сада, кандидаты на трудоустройство, их супруги и близкие родственники;

- обучающиеся, в том числе бывшие, Бабиничского детского сада, их законные представители, в том числе лица, которым  Бабиничским детским садом предоставляются платные услуги в сфере образования по договорам;

- иные лица, предоставившие персональные данные  Бабиничскому детскому саду посредством оформления договоров, заполнения анкет, опросников, иным путем.

  1. К персональным данным работников, обрабатываемым  Бабиничским детским садом , относятся:

- фамилия, собственное имя, отчество;

- пол;

- число, месяц, год рождения;

- идентификационный номер;

- паспортные данные;

- место рождения;

- фотопортрет;

- медицинские документы о состоянии здоровья;

данные:

- о гражданстве (подданстве);

- о регистрации по месту жительства и (или) месту пребывания;

- о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;

- о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;

- об образовании, ученой степени, ученом звании;

- о дополнительных видах занятости;

- о пенсии, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;

- об исполнении воинской обязанности;

- об инвалидности;

- о наличии исполнительного производства на исполнении в органах принудительного исполнения;

- о привлечении к уголовной, административной ответственности.

  1. К персональным данным обучающихся и их законных представителей, обрабатываемым Бабиничским детским садом, относятся:

- фамилия, собственное имя, отчество воспитанника;

- пол;

- дата и место рождения;

- адрес места жительства;

- адрес регистрации;

- номер группы;

- данные свидетельства о рождении;

- сведения о состоянии здоровья;

- данные заключения комиссии ПМПК;

- данные о приеме;

- дата и причина отчисления воспитанника;

- фамилия, собственное имя, отчество родителя (законного представителя);

- статус семьи;

- адрес регистрации родителя (законного представителя);

- адрес проживания родителя (законного представителя);

- место работы, учёбы родителя (законного представителя);

- телефон родителя (законного представителя);

- паспортные данные;

- номер лицевого счета родительской оплаты;

- данные о получаемых компенсациях;

- личная подпись представителя.

  1. Специальные персональные данные (персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные) Оператор обрабатывает только при условии согласия субъекта персональных данных либо без согласия субъекта персональных данных при оформлении трудовых отношений, а также в процессе трудовой деятельности, в иных случаях, предусмотренных законодательством.

 

ГЛАВА 5

ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

  1. Оператор имеет право:

- получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;

- запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;

- в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о защите персональных данных;

- в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;

-самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о защите персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о защите персональных данных;

- обрабатывать персональные данные следующими способами:

- с использованием средств автоматизации;

- без использования средств автоматизации (списки, журналы и другое);

- с одновременным использованием обоих вышеуказанных способов.

  1. Оператор обязан:

- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

- получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;

- обеспечивать защиту персональных данных в процессе их обработки;

- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;

- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для обработки персональных данных;

- исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

- выполнять иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.

 

ГЛАВА 6

ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Субъект персональных данных имеет право:

- получать информацию, касающуюся обработки его персональных данных;

- получать от Оператора информацию о предоставлении своих персональных данных третьим лицам на условиях, определенных Законом о защите персональных данных;

- отзывать согласие на обработку персональных данных посредством подачи Оператору заявления в письменной форме;

- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

требовать от Оператора:

- изменения его персональных данных в случае, если персональные данные являются неполными или устаревшими;

- прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;

- осуществления иных прав, предусмотренных законодательством Республики Беларусь.

  1. Субъект персональных данных обязан:

- предоставлять Оператору достоверные данные о себе;

- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.

 

ГЛАВА 7

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

  1. Работники Бабиничского детского сада, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
  2. Трансграничная передача персональных данных ГУО «Бабиничский детский сад Витебского района» не осуществляется.
  3. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.
  4. Настоящая Политика вступает в силу со дня ее утверждения.
  5. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.
  6. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством.
  7. В целях обеспечения защиты персональных данных, соблюдения положений настоящей Политики, а также законодательства в области защиты персональных данных в Бабиничском детском саду назначается лицо, ответственное за осуществление контроля обработки персональных данных.
  8. Персональная ответственность за соблюдение требований законодательства в области защиты персональных данных, Политики ГУО  "Бабиничский детский сад Витебского района" в отношении обработки персональных данных возлагается на заместителя заведующего по основной деятельности.
свернуть

Защита персональных данных при размещении фото и видео на сайте учреждения

Необходимо ли получать согласие законных представителей воспитанников при размещении их фото и видео на сайте учреждения дошкольного образования?

Не нужно, если основной объект на снимке — не изображение ребенка, а проводимое мероприятие.

В настоящее время в республике принимаются меры по внесению изменений в НПА в целях регулирования вопроса о размещении фотографий и видеозаписей на сайтах организаций.

До внесения соответствующих изменений в акты законодательства государственным учреждениям образования следует руководствоваться Положением о порядке функционирования интернет-­сайтов государственных органов и организаций (утв. постановлением Совета Министров Республики Беларусь от 29.04.2010 № 645 (далее — Положение № 645)).

На основании подп. 7.7 п. 7 Положения № 645 размещение по решению руководителя государственного учреждения образования на сайте, в соцсетях фотографий и видеозаписей с изображением участников мероприятия (в т. ч. несовершеннолетних) без получения их согласия в рамках новостного контента, освещения спортивных, культурных, образовательных мероприятий не рассматривается как нарушение Закона Республики Беларусь от 07.05.2022 № 99-З «О защите персональных данных».

Изображение ребенка при этом не должно быть основным объектом на снимке, фотография должна отражать именно проводимое мероприятие.

В случае, если акцент делается на изображении ребенка, то для размещения таких фотографий или видеоизображения необходимо получать согласие законного представителя воспитанника.

свернуть

Документы по защите персональных данных

Учреждение дошкольного образования, являясь самостоятельным оператором, осуществляющим обработку персональных данных, обязано выполнять предписания Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Рассмотрим более подробно, какая документация должна быть в учреждении дошкольного образования в соответствии с Законом.

Закон не содержит исчерпывающего перечня мер, принятие которых будет свидетельствовать о соблюдении оператором обязанности по обеспечению защиты персональных данных. В Законе реализован риск-ориентированный подход, поэтому в зависимости от сферы деятельности оператора, объема обрабатываемых персональных данных, способов обработки, категорий персональных данных, потенциальных рисков, связанных с обработкой персональных данных, иных обстоятельств оператор (уполномоченное лицо) самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных. При этом в ст. 17 Закона прописан комплекс мер по обеспечению защиты персональных данных, которые каждый оператор (уполномоченное лицо) обязан принимать в своей организации.

Таким образом, обработка персональных данных в сфере дошкольного образования может осуществляться на различных правовых основаниях, при этом согласие субъекта персональных данных в большинстве случаев не требуется.

Вместе с тем даже наличие и правильный выбор правовых оснований обработки персональных данных не исключают возможных нарушений Закона. Обращаем внимание, что в соответствии с п. 5 ст. 4 Закона обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. К сожалению, приходится констатировать, что в учреждениях образования встречается избыточная обработка персональных данных, когда учреждения собирают информацию на всякий случай, не задумываясь о реальной необходимости обработки подобной информации.

Для оказания учреждениям образования содействия в надлежащей реализации законодательства о персональных данных Центром подготовлена информация о применении Закона в сфере образования, в которой детально освещены вопросы, связанные с обработкой персональных данных в учреждениях образования, включая правовые основания такой обработки, общие требования к обработке персональных данных, организацию работы по реализации Закона. 

свернуть

Требования к оформлению согласия

Если правовым основанием обработки персональных данных является согласие субъекта персональных данных (в отношении несовершеннолетнего — его законного представителя), оно должно соответствовать требованиям, предусмотренным ст. 5 Закона.

В соответствии с п. 1 ст. 5 Закона согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

Чтобы оценить, является ли согласие свободным, следует исходить из того, обладает ли субъект персональных данных реальным выбором, давать или не давать свое согласие, либо его согласие является вынужденным, например, в силу связанности согласия с достижением иной, желаемой для него цели (например, заключением договора, осуществлением трудовой функции, зачислением в учреждение дошкольного образования).

В целях обеспечения информированного согласия субъекту персональных данных до начала обработки должна быть предоставлена информация, предусмотренная п. 5 ст. 5 Закона.

Центром разработана примерная форма согласия на обработку персональных данных. Данная форма доступна на сайте Центра (короткая ссылка — https://cpd.by/forma-soglasija-na-obrabotku-personalnyh-dannyh-razrabotana-centrom/).

 

 

свернуть

Когда согласие брать не следует

Согласие субъекта персональных данных не является универсальным или обязательным условием для обработки персональных данных. Обработка персональных данных осуществляется без согласия субъекта персональных данных в случаях, предусмотренных ст. 6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).

При определении правового основания обработки персональных данных в учреждении образования заведующему необходимо внимательно изучить ст. 6 и ч. 2 ст. 8 Закона. И только в том случае, если ни одно из указанных в них оснований не подходит, можно говорить о том, что обработку персональных данных необходимо осуществлять на основании согласия.

Еще одним критерием, позволяющим определиться с выбором правового основания обработки, может являться, в частности, тот факт, что отзыв согласия, если субъект решит воспользоваться своим правом, сам по себе не повлечет прекращения обработки персональных данных. Если такая обработка будет продолжаться, например, в силу требований законодательных актов, необходимости выполнения возложенных на оператора или уполномоченное лицо обязанностей, продолжения исполнения условий договора, следует констатировать, что обработка персональных данных должна осуществляться на ином правовом основании, и согласие субъекта персональных данных не требуется. И только лишь в ситуации, когда обработка персональных данных в тех или иных процессах зависит исключительно от воли субъекта, следует говорить о необходимости получения согласия как правового основания обработки.

Анализ правоприменительной практики и обращений, поступающих в Национальный центр защиты персональных данных, выборочный мониторинг сайтов учреждений образования показали, что в учреждениях образования существуют серьезные проблемы, связанные с выбором правового основания обработки персональных данных для тех или иных целей. Например, согласие родителя (законного представителя) на обработку персональных данных несовершеннолетнего, формы которого разработаны и предлагаются к подписанию учреждениями образования, не соответствует требованиям Закона ни по форме, ни по содержанию.

 В соответствии с п. 1 ст. 5 Закона согласие на обработку персональных данных представляет собой свободное выражение воли субъекта персональных данных. Во многих формах согласия, используемых учреждениями образования, родителю (законному представителю) или обучающемуся не предоставлена возможность по своему усмотрению отказаться от одной или нескольких целей обработки, а также отозвать согласие в отношении одной или нескольких целей обработки, что не согласуется с требованиями ст. 5 Закона.

свернуть