ГЛАВА 2
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В настоящей Политике используются следующие термины и их определения:

• биометрические персональные данные — информация, характеризующая физиологические и биологические особенности человека, используемая для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое).

• блокирование персональных данных — прекращение доступа к персональным данным без их удаления.

• генетические персональные данные — информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть установлена, в частности, при исследовании его биологического образца.

• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

• обработка персональных данных — действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

• общедоступные персональные данные — персональные данные, распространенные самостоятельно субъектом персональных данных либо, с его согласия, распространенные в соответствии с требованиями законодательных актов.

• персональные данные — информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

• предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.

• распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

• специальные персональные данные — персональные данные, относительно расовой либо национальной принадлежности, Политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

• субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных.

• трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства.

• удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожается материальные носители персональных данных.

• уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляет обработку персональных данных от имени оператора или в его интересах

• физическое лицо, которое может быть идентифицировано, — физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

ГЛАВА 3
ПРИНЦИПЫ, ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных в Школе осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных на основе следующих принципов:

• обработка персональных данных осуществляется в соответствии с законодательством;

• обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на этапах такой обработки справедливое соотношение интересов заинтересованных лиц;

• обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

• обработка персональных данных ограничивается достижением конкретных, заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

• содержание и объем обрабатываемых персональных данных соответствует заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

• обработка персональных данных является понятной для субъекта персональных данных. Субъекту персональных данных предоставляется информация, относительно целей обработки его персональных данных;

• персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем того требует заявленные цели обработки персональных данных;

3.2. Школа принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их.

3.3. Персональные данные обрабатывается в целях:

• осуществления задач, функций, прав и обязанностей, возложенных законодательством на государственное учреждение образования «Средняя школа №21 г.Могилева»;

• обработки информации (резюме) кандидатов на трудоустройство; обеспечения пропускного режима;

• обработки персональных данных в процессе трудовой деятельности (любые сведения личного характера — о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т. д. — государственное учреждение образования «Средняя школа № 21 г.Могилева» обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по законодательству и локальным правовым актам Школы);

• осуществления функций и обязанностей по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь и в иные государственные органы;

• защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

• взаимодействия с контрагентами, гражданами, выполняющими работу по гражданско-правовым договорам;

• осуществления административных процедур;

• рассмотрения обращений;

• предоставления лицам, состоящим в родстве с работниками, обучающимися льгот и компенсаций;

• проведения мероприятий и обеспечения участия в них субъектов персональных данных;

• обеспечения информационной, технической безопасности; сохранения материальных ценностей и предотвращения правонарушений; выдачи доверенностей и иных уполномочивающих документов; в иных законных целях.

3.4. Правовые основания обработки могут быть отнесены к одному из следующих блоков:

• согласие субъекта персональных данных; заключение или исполнение договора;

• обработка персональных данных, указанных в документе, адресованном оператору;

• оформление и реализация трудовых (служебных отношений);

• защита жизни, здоровья или иных жизненно важных интересов человека;

• обработка распространенных ранее персональных данных;

• выполнение обязанностей (полномочий), предусмотренных законодательными актами.

ГЛАВА 4
ФУНКЦИИ ШКОЛЫ И МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ИСПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Школа при осуществлении обработки персональных данных принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

4.2. Школа определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных с учетом требований законодательства.

4.3. Меры для обеспечения исполнения Школой обязанностей оператора, предусмотренных законодательством в области защиты персональных данных, включают:

• назначение лица (лиц), ответственных за осуществление внутреннего контроля за обработкой персональных данных;

• издание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;

• ознакомление работников Школы, осуществляющих обработку персональных данных, с положениями законодательства и локальных правовых актов в области защиты персональных данных (Приложение 1); а также обучение указанных работников. Обучение может проходить:
  • в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;
  • в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов); у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
  • установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
  • осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
  • обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим Политику Школы относительно обработки персональных данных, до начала такой обработки.

ГЛАВА 5
ОБЯЗАННОСТИ ОПЕРАТОРА

Оператор обязан:

• устанавливать правила обработки персональных данных в организации, вносить изменения и дополнения в настоящую Политику, самостоятельно разрабатывать и применять формы документов, необходимых для исполнения обязанностей Оператора;

• разъяснять субъектам персональных данных их права, связанные с обработкой персональных данных;

• предоставлять субъектам персональных данных информации, необходимой для обеспечения прозрачности процесса обработки персональных данных до получения их согласий на обработку персональных данных;

• получать согласие субъекта персональных данных, за исключением случаев, предусмотренных законодательством;

• обеспечить защиту персональных данных в процессе их обработки;

• предоставлять субъекту персональных данных информацию о его персональных данных, а также о представлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством;

• вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательством либо если цели обработки персональных данных не предполагают последующих их изменений;

• прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законодательством;

• уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных в срок, предусмотренный законодательством, после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;

• осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;

• предоставлять информацию субъекту персональных данных (уведомлять) его заявлению в соответствии с законодательством (Приложение 7);

• исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;

• выполнять иные обязанности, предусмотренные законодательством.

ГЛАВА 6
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор обрабатывает персональные данные следующих субъектов:

• обучающихся Оператора;

• лиц, состоящих в родстве с обучающимися Оператора;

• работников Оператора, в том числе уволенных;

• лиц, состоящих в родстве с работниками Оператора;

• кандидатов на рабочие места, создаваемые Оператором;

• физических лиц, являющихся:
  • представителями юридических лиц;
  • индивидуальными предпринимателями;
  • контрагентами по заключаемым (исполняемым) с ними гражданско-правовым договорам;
  • посетителей;
  • граждан, подавших (подающих) обращения Оператору;
  • граждан, обратившихся (обращающихся) за осуществлением административной процедуры к Оператору;
  • иных физических лиц, взаимоотношение которых с Оператором влечет необходимость обработки их персональных данных (обращение граждан, обеспечение внебюджетной деятельности и другое).

ГЛАВА 7
СОДЕРЖАНИЕ И ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Содержание и объем персональных данных обрабатываемых государственным учреждением образования «Средняя школа № 21 г.Могилева» определяются необходимостью достижения целей обработки, а также необходимостью Оператором реализовать, принадлежащие ему права и обязанности, а также права и обязанности соответствующего субъекта.

7.2. К персональным данным обучающихся, работников Оператора относятся:

фамилия, собственное имя, отчество (если таковое имеется);

• прежние фамилии, собственные имена, отчества (если таковые имелись);

• дата рождения;

• пол;

• гражданство;

• место регистрации (места жительства);

• данные из паспорта или иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и другие имеющиеся в них сведения);

• семейное положение и состав семьи с указанием фамилий, собственных имен и отчеств членов семьи, дат рождений, мест работы и (или) учебы;

• номер страхового свидетельства государственного социального страхования;

• биометрические персональные данные, в том числе фотоизображение;

• данные об образовании;

• данные медицинского характера в случаях, предусмотренных законодательством;

• сведения о наличии или отсутствии судимости в случаях, определенных законодательством;

• социальные льготы и иные выплаты;

• награждения и поощрения;

• телефонные номера, адрес электронной почты и другое;

• содержание документов миграционного учета;

• иные данные, необходимость обработки которых предусмотрена законодательством;

7.3. К персональным данным лиц, состоящих в родстве с обучающимися, работниками Оператора, относятся:

• фамилия, собственное имя, отчество (если таковое имеется);

• дата рождения;

• пол;

• гражданство;

• данные из паспорта или иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ и другие сведения);

• семейное положение и состав семьи с указанием фамилий, собственных имен и отчеств членов семьи, дат рождений, мест работы и (или) учебы;

• место регистрации (места жительства);

• данные медицинского характера в случаях, предусмотренных законодательством;

• социальные льготы и выплаты;

• телефонные номера;

• сведения о трудовой деятельности;

• иные данные, необходимость обработки которых предусмотрена законодательством.

7.4. К персональным данным кандидатов на рабочие места, создаваемые Оператором, относятся:

• фамилия, собственное имя, отчество (если таковое имеется); пол;

• прежние фамилии, собственные имена, отчества (если таковые имелись);

• дата и место рождения;

• гражданство;

• данные из паспорта или иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и другие сведения);

• семейное положение и состав семьи с указанием фамилий, имен и отчеств членов семьи, дат рождений, мест работы и (или) учебы;

• место регистрации (места жительства);

• образование, повышение квалификации, профессиональная переподготовка, ученая степень (ученое звание);

• данные о трудовой деятельности, в том числе, стаже и опыте работы, сведения о занятости с указанием должности, подразделения, сведений о нанимателе и другое;

• сведения о наличии или отсутствии судимости в случаях, определенных законодательством;

• данные об образовании, специальность, квалификация, профессия;

• данные о воинском учете;

• данные медицинского характера в случаях, предусмотренных законодательством;

• биометрические персональные данные, в том числе фотоизображения;

• социальные льготы и выплаты;

• телефонный номер, адрес электронной почты и другое;

• награждения и поощрения;

• предоставленные кандидатом в ходе заполнения личностных опросников и проведения мероприятий по тестированию, а также результаты такого тестирования (психометрический профиль, профессиональные способности и характеристики);

• иные данные, необходимость обработки которых предусмотрена законодательством.

7.5. К персональным данным представителей юридических лиц, индивидуальных предпринимателей и физических лиц, являющихся контрагентами по заключаемым (исполняемым) гражданско-правовым договорам лиц относятся:

• фамилия, собственное имя, отчество (если таковое имеется); данные из паспорта или иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и другое);

• регистрация по месту жительства, место фактического проживания, в том числе, адрес и дату регистрации, место нахождения (для индивидуальных предпринимателей);

• номер страхового свидетельства государственного социального страхования;

• данные об образовании, повышение квалификации и профессиональную переподготовку, ученую степень, ученое звание (при оказании образовательных услуг);

• реквизиты банковского счета; идентификационный номер налогоплательщика; наличие зарегистрированных прав;

• телефонный номер, адрес электронной почты и другие данные; иные данные, необходимые для исполнения возникших прав и обязанностей, в том числе по заключаемым и исполняемым гражданско-правовым договорам, предусмотренные законодательством.

7.6. К персональным данным физических лиц, взаимоотношение с которыми влечет необходимость обработки их персональных данных относятся:

• фамилия, собственное имя, отчество (если таковое имеется); данные из паспорта или иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и другое);

• регистрация по месту жительства, место фактического проживания, в том числе, адрес и дату регистрации, место нахождения (для индивидуальных предпринимателей);

• телефонный номер, адрес электронной почты и другое;

• иные данные, необходимые для исполнения возникших прав и обязанностей, в том числе по заключаемым и исполняемым гражданско-правовым договорам, предусмотренные законодательством.

7.7. Документы, содержащие персональные данные:

• классный журнал;

• личное дело обучающегося;

• формуляр читателя;

• личный листок, автобиография, которые заполняются при приеме на работу;

• копия документа, удостоверяющего личность;

• личная карточка работника;

• личное дело работника;

• трудовая книжка или ее копия;

• копии свидетельств о заключении брака, рождении детей;

• заявления работников;

• документы воинского учета;

• копии документов об образовании;

• копии документов обязательного социального страхования;

• трудовой договор (контракт);

• подлинники и копии приказов по личному составу, по основной деятельности;

• материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;

• отчеты, копии отчетов, направляемые в органы статистики;

• табели использования рабочего времени;

• базы данных;

• журналу по осуществлению административных процедур;

• другие документы в соответствии с законодательством, локальными правовыми актами Оператора.

ГЛАВА 8
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных вправе:

8.1.1. дать согласие на обработку персональных данных посредством подачи Оператору соответствующего письменного согласия (Приложение 2, 3). Письменное согласие субъекта персональных данных на обработку его персональных данных должно содержать следующие сведения:

• фамилию,
• собственное имя,
• отчество (если таковое имеется),
• дату рождения,
• идентификационный номер,
• в случае отсутствия такого номера – номер документа, удостоверяющего его личность;
• подпись субъекта персональных данных.

8.1.2. Согласие субъекта персональных данных может быть получено также в виде электронного документа или в иной электронной форме. В иной электронной форме согласие субъекта персональных данных может быть получено посредством:

• указания (выбора) субъектом персональных данных определенной информации (кода) после получения СМС-сообщения, сообщения на адрес электронной почты;

• проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;

• других способов, позволяющих установить факт получения согласия субъекта персональных данных.

8.1.3. отозвать согласие на обработку персональных данных посредством подачи Оператору соответствующего письменного заявления (Приложение 4);

8.1.4. получать информацию, относительно обработки, принадлежащих ему персональных данных, содержащей:

• наименование и место нахождения (юридический адрес) Оператора; подтверждение факта обработки персональных данных Оператором и (или) уполномоченным лицом;

• персональные данные субъекта и источник их получения;

• правовые основания и цели обработки персональных данных;

• срок, на который предоставлено его согласие на обработку персональных данных;

• наименование и место нахождения уполномоченного лица;

• иную информацию, предусмотренную законодательством;

8.1.5. требовать от Оператора внесения изменений в принадлежащие ему персональные данные в случае, если они являются неполными, недостоверными. В таком случае, субъект персональных данных обращается к Оператору с письменным заявлением в порядке, предусмотренном законодательством с приложением документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные;

8.1.6. получать от Оператора информацию о предоставлении своих персональных данных третьим лицам в порядке, предусмотренном законодательством, посредством подачи о том письменного заявления.

8.1.7. требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством посредством подачи о том письменного заявления;

8.1.8. обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством;

8.2. Для реализации прав, предусмотренных пунктами 8.1.3 – 8.1.6. настоящей Политики, субъект персональных данных подает оператору заявление в письменной форме (Приложение 5). Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.

8.3. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством.

8.4. Обращения субъектов персональных данных или их представителей в связи с обработкой их персональных данных регистрируются в соответствующих журналах (Приложение 3, 6).

8.5. Субъект персональных данных обязан:

• предоставлять Оператору достоверные персональные данные; своевременно сообщать Оператору об изменениях и дополнениях персональных данных;

• осуществлять права в соответствии с законодательными и локальными правовыми актами в области обработки и защиты персональных данных;

• исполнять иные обязанности, предусмотренные законодательными и локальными правовыми актами в области обработки и защиты персональных данных.

ГЛАВА 9
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Персональные данные обрабатывается с согласия, субъекта персональных данных, если иное не предусмотрено законодательством.

9.2. Школа без согласия субъекта персональных данных не распространяет третьим лицам персональные данные, если иное не предусмотрено законодательством.

9.3. Школа вправе поручить обработку персональных данных от своего имени и в своих интересах уполномоченному лицу на основании заключаемого с ним договора.

Договор должен содержать:

• цели обработки персональных данных;

• перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

• обязанности по соблюдению конфиденциальности персональных данных;

• меры по обеспечению защиты персональных данных.

Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Школы необходимо получение согласия субъекта персональных данных, такое согласие получает оператор.

9.4. В целях внутреннего информационного обеспечения Школа может издавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством, могут вноситься следующие сведения: фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, телефонный номер и иные персональные данные, сообщаемые их субъектом.

9.5. Доступ к обрабатываемым в Школе персональным данным разрешается уполномоченным к обработке и доступу работникам Школы, определенным руководителем учреждения образования

ГЛАВА 10
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ

10.1. Школа осуществляет обработку персональных данных (действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).

10.2. Политика регулирует отношения, связанные с защитой персональных данных при их обработке, осуществляемой следующими способами:

• с использованием средств автоматизации;

• без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).

ГЛАВА 11
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Действие Политики не распространяется на отношения, касающиеся случаев обработки персональных данных:

• физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью;

• отнесенных в установленном порядке к государственным секретам.

11.2. Общие правила.

11.2.1. В случаях, предусмотренных законодательством, обработка персональных данных возможна лишь после получения о том согласия в письменной форме их субъекта.

11.2.2. До получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:

• наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных; цели обработки персональных данных;

• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

• срок, на который дается согласие субъекта персональных данных; информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;

• перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;

• иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.

11.2.3. До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

11.2.4. Согласие субъекта персональных данных на их обработку государственным учреждением образования «Средняя школа № 21 г.Могилева», за исключением специальных персональных данных, не требуется:

• в целях осуществления контроля (надзора) в соответствии с законодательными актами;

• при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;

• для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;

• при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

• в целях назначения и выплаты пенсий, пособий;

• для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;

• в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;

• при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

• при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;

• для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

• в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами;

• в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

• в случаях, когда Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

11.2.5. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев:

• если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;

• при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;

• в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;

• для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации; для осуществления административных процедур;

• для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

• в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;

• в случаях, когда законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.

11.2.6. Обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.

11.3. Сбор персональных данных.

11.3.1. Источником персональных данных является непосредственно их субъект, его законный представитель.

11.3.2. Оператор вправе получить персональные данные о его субъекте от третьих лиц только при письменном уведомлении о том субъекта, указанных данных либо при наличии письменного согласия субъекта на их получение от третьих лиц.

11.3.3. Оператор вправе получить персональные данные о его субъекте от третьих лиц без уведомления, без согласия самого субъекта в случаях, предусмотренных законодательством.

11.3.4. Письменное уведомление субъекта персональных данных о

• получении его персональных данных от третьих лиц должно содержать: наименование оператора и адрес его местонахождения; цель обработки персональных данных и ее правовое основание;

• предполагаемых пользователей персональных данных;

• установленные законом права субъекта персональных данных;

• источник получения персональных данных.

11.3.5. Сбор персональных данных осуществляется путем:

• получения информации, содержащей персональные данные, в устной и (или) письменной форме непосредственно от субъектов персональных данных;

• получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;

• получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;

• формирования персональных данных в ходе кадровой работы;

• фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

• внесения Оператором персональных данных в информационные системы;

• использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой государственным учреждением образования «Средняя школа № 21 г.Могилева» деятельности.

• получения персональных данных в ответ на запросы, направляемые государственным учреждением образования «Средняя школа № 21 г.Могилева» в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;

получения персональных данных из общедоступных источников; получения персональных данных с помощью иных способов в соответствии с законодательством.

11.4. Хранение персональных данных.

11.4.1. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.

11.4.2. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, находятся в специально отведенных для этого местах с ограниченным доступом и в условиях, которые обеспечивают их защиту от несанкционированного доступа.

11.4.3. Сроки хранения персональных данных устанавливаются в соответствии с законодательством

11.4.4. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты.

11.4.5. Персональные данные хранятся в форме, позволяющей идентифицировать их субъекта, но не дольше, чем этого требуют заявленные цели обработки персональных данных.

11.4.6. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки, в случае утраты необходимости в достижении этих целей или по истечению сроков их хранения.

11.4.7. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе.

11.4.8. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

11.5. Использование.

11.5.1. Персональные данные обрабатываются и используются для целей, указанных в пункте 3.3. Политики.

11.5.2. Доступ к персональным данным предоставляется только тем работникам Школы, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с ними. Перечень таких лиц (должностей) определяется приказом директора Школы.

11.5.3. При необходимости предоставления доступа к персональным данным работникам, не входящим в перечень лиц (должностей) с доступом к ним, им может быть предоставлен временный доступ к ограниченному кругу персональных данных по распоряжению руководителя Оператора. Указанные работники должны быть ознакомлены под подпись с локальными правовыми актами Оператора в области персональных данных.

11.5.4. Работники, обрабатывающие персональные данные без использования средств автоматизации, информируются о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящей Политикой.

11.6. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого незаконного использования.

11.7. Права доступа работника, иного лица:

• изменяются — в случаях перевода работника на другую должность или изменения условий договора с уполномоченным лицом;

• прекращаются – в случае увольнения работника или окончания срока действия договора с уполномоченным лицом, расторжения такого договора.

11.8. Доступ к персональным данным может быть также прекращен на основании организационно-распорядительного документа (приказа, поручения, распоряжения) или иного документа с резолюцией директора Школы (лица, исполняющего его обязанности) или его заместителя.

11.8.1. Работникам Оператора, не имеющим допуска к персональным данным, которые обрабатывает оператор, доступ к персональным данным запрещается.

11.8.2. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе иных персональных данных, персональные данные, подлежащие распространению или использованию, копируются и используются способом, исключающим одновременное копирование и использование персональных данных, не подлежащих такому распространению и использованию.

11.8.3. Уточнение персональных данных при их обработке без использования средств автоматизации осуществляется посредством их обновления или изменения на материальном носителе, а если это недопустимо по техническим особенностям материального носителя, соответственно посредством фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

11.9. Предоставление персональных данных.

11.9.1. Предоставление персональных данных субъектов третьим лицам допускается объемах и в целях, необходимых выполнения задач, соответствующих причине сбора указанных данных.

11.9.2. Предоставление персональных данных третьим лицам, допускается только при наличии согласия о том их субъекта либо иного законного основания.

11.9.3. При предоставлении персональных данных третьим лицам субъект персональных данных вправе быть уведомлен о такой передаче, за исключением случаев, определенных законодательством, в частности, если:

• субъект персональных данных уведомлен об осуществлении обработки его персональных данных третьим лицом, получившим их от Оператора;

• персональные данные стали общедоступными в результате их распространения самим субъектом персональных данных или получены из общедоступного источника.

11.10. Информация, содержащая персональные данные, должна передаваться способом, обеспечивающим защиту от их неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении такой информации.

11.11. Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:

• предоставлено о том согласие субъекта персональных данных при условии, что последний проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня защиты персональных данных;

• персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

• персональные данные переданы в результате исполнения запроса в случаях и в порядке, предусмотренных законодательством;

• передача персональных данных осуществляется с разрешения уполномоченного органа по защите прав субъектов персональных данных.

11.12. Лица, получившие персональные данные, предупреждаются о том, что указанные данные могут быть использованы лишь в целях, для которых они предоставлены, и с соблюдением режима их конфиденциальности. Школа вправе требовать от указанных лиц подтверждения соблюдения требований, предусмотренных настоящим пунктом.

11.13. В случаях обращения государственных органов с запросом к выдаче персональных данных, когда право на их получение предоставлено им в силу законодательства, соответствующая информация предоставляется в порядке и в сроки, предусмотренном законодательством.

1 1.14. Поступающие запросы о предоставлении персональных данных передаются лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора для предварительного их рассмотрения. Решение о предоставлении персональных данных третьим лицам принимаются руководителем Оператора в порядке, предусмотренном законодательством.

11.15. Поручение обработки персональных данных.

11.15.1. Оператор вправе поручить обработку персональных данных уполномоченному лицу на основании заключаемого с ним договора.

11.15.2. В случае, если Оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Уполномоченное лицо несет ответственность перед Оператором.

11.16. Защита персональных данных.

11.16.1. Под защитой персональных данных понимаются правовые, организационные и технические меры, направленные на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

• соблюдение конфиденциальности информации ограниченного доступа;

• реализацию права на доступ к информации.

11.16.2. Для защиты персональных данных Оператор принимает меры, указанные в главе 4 Политики, а также

• определяет состав работников (перечень должностей), функциональные обязанности которых требуют доступ к информации, содержащей персональные данные, в том числе, посредством установления паролей доступа к электронным информационным ресурсам;

• назначает ответственное должностное лицо за обеспечение информационной безопасности, технической защиты и хранение

• криптографических средств защиты персональных данных;

• обеспечивает условия для хранения документов, содержащих

• персональные данные в ограниченном доступе;

• определяет порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены иные требования по хранению соответствующих данных;

• контролирует соблюдение требований по обеспечению безопасности персональных данных посредством проведения внутренних проверок, установления специальных средств мониторинга и других мероприятий;

• осуществляет расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных работников к ответственности;

• внедряет программные и технические средства защиты информации в электронном виде;

ГЛАВА 12
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬНЫХ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ.

12.1. Контроль за соблюдением должностными лицами Школы требований законодательных и локальных правовых актов в области персональных данных осуществляется с целью проверки соответствия обработки персональных данных законодательным и локальным правовым актам, а также принятия мер, направленных на установление и предотвращение нарушений законодательства в области персональных данных, в том числе, установление возможных способов несанкционированного доступа к ним.

12.2. Внутренний контроль за соблюдением Школой законодательных и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицами (лицом), ответственными за внутренний контроль при обработке персональных данных.

12.3. К основным функциям такого ответственного лица в Школе относятся:

• осуществление внутреннего контроля за обработкой персональных данных;

• консультирование руководителя и работников по вопросам применения законодательства о персональных данных;

• участие в разработке (поддержании в актуальном состоянии) документов, определяющих Политику оператора в отношении обработки персональных данных;

• участие в обучении работников и иных лиц, непосредственно осуществляющих обработку персональных данных по вопросам защиты персональных данных (в том числе разработка тестовых и иных заданий, их проверка и т.п.);

• участие в рассмотрении заявлений, жалоб субъектов персональных данных;

• участие во взаимодействии с уполномоченным органом по защите прав субъектов персональных данных – Национальным центром защиты персональных данных Республики Беларусь.

12.4. Персональная ответственность за соблюдение требований законодательных и локальных нормативных актов в области персональных данных в Школе, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на руководителя.

12.5. Лица, виновные в нарушении законодательства о защите персональных данных привлекаются к ответственности, предусмотренной законодательством.