Министерство финансов                                                                                                                     УТВЕРЖДАЮ
Республики Беларусь                                                                                                                           Директор учреждения образования
                                                                                                                                                                   «Минский государственный
Учреждение образования                                                                                                                   финансово-экономический колледж»
«Минский государственный                                                                                                                _______________ О.А.Бесько
финансово-экономический колледж»                                                                                              01.09.2023

 

ПОЛИТИКА ОПЕРАТОРА

01.09.2023 № 1-4/30

в отношении обработки персональных данных

 

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика в отношении обработки персональных данных в учреждении образования «Минский государственный финансово-экономический колледж» (далее – Политика) (далее – колледж) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в колледже персональных данных, функции колледжа при обработке персональных данных, права субъектов персональных данных, а также реализуемые в колледже требования к защите персональных данных.

1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов (далее – НПА) Республики Беларусь в области персональных данных.

1.3. Положения Политики служат основой для разработки локальных правовых актов (далее – ЛПА), регламентирующих в колледже вопросы обработки персональных данных работников колледжа и других субъектов персональных данных.

 

ГЛАВА 2

ПРАВОВЫЕ ИСТОЧНИКИ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОЛЛЕДЖЕ

2.1. Политика в отношении обработки персональных данных в колледже определяется в соответствии со следующими НПА:

2.1.1. Конституция Республики Беларусь;

2.1.2. Трудовой кодекс Республики Беларусь;

2.1.3. Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;

2.1.4. Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;

2.1.5. Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;

2.1.6. иные НПА Республики Беларусь и нормативные документы уполномоченных органов государственной власти.

2.2. В целях реализации положений Политики в колледже разрабатываются соответствующие ЛПА и иные документы, в том числе:

2.2.1. Положение об обработке и защите персональных данных в колледже (приложение 1);

2.2.2. Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные (приложение 2);

2.2.3. Положение об уничтожении (удалении) персональных данных (приложение 3);

2.2.4. Полоожение о порядке допуска работников и иных лиц к обработке персональных данных (приложение 4) и иные ЛПА и документы, регламентирующие в колледже вопросы обработки персональных данных.

 

ГЛАВА 3

ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛПА КОЛЛЕДЖА, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).

3.2. Блокирование персональных данных – прекращение доступа к персональным данным без их удаления.

3.3. Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.

3.4. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.5. Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

3.6. Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

3.7. Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

3.8. Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.

3.9. Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

3.10. Специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

3.11. Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных.

3.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства.

3.13. Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.

3.14. Физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

3.15. Информация – сведения (сообщения, данные) независимо от формы их представления.

3.16. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

 

ГЛАВА 4

ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Колледж, являясь оператором персональных данных, осуществляет обработку персональных данных работников колледжа и других субъектов персональных данных, не состоящих с колледжем в трудовых отношениях.

4.2. Обработка персональных данных в колледже осуществляется с учетом необходимости обеспечения защиты прав и свобод работников колледжа и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

4.2.1.  обработка персональных данных осуществляется на законной и справедливой основе;

4.2.2.  обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

4.2.3.  обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

4.2.4.  обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

4.2.5.  содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;

4.2.6.  обработка персональных данных носит прозрачный характер. Субъекту персональных данных в может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

4.2.7.  оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

4.2.8.  хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

4.3. Персональные данные обрабатываются в колледже в целях:

4.3.1.  обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных НПА Республики Беларусь, ЛПА колледжа;

4.3.2.  осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на колледж, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы;

4.3.3.  регулирования трудовых отношений с работниками колледжа (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

4.3.4.  защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

4.3.5.  подготовки, заключения, исполнения и прекращения договоров с контрагентами;

4.3.6.  обеспечения пропускного и внутриобъектового режимов на объектах колледжа;

4.3.7.  формирования справочных материалов для внутреннего информационного обеспечения деятельности колледжа;

4.3.8.  исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;

4.3.9.  осуществления прав и законных интересов колледжа в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛПА колледжа, либо достижения общественно значимых целей;

4.3.10. в иных законных целях.

 

ГЛАВА 5

ПЕРЕЧНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В КОЛЛЕДЖЕ

5.1. Работники колледжа.

5.2. Учащиеся колледжа.

5.3. Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в гл. 4 Политики).

 

ГЛАВА 6

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ОБРАБАТЫВАЕМЫХ В КОЛЛЕДЖЕ

6.1. Перечень персональных данных, обрабатываемых в колледже, определяется в соответствии с законодательством Республики Беларусь и ЛПА колледжа с учетом целей обработки персональных данных, указанных в гл. 4 Политики.

6.2. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, в колледже не осуществляется.

 

ГЛАВА 7

ФУНКЦИИ КОЛЛЕДЖА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и ЛПА колледжа в области персональных данных.

7.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.3. Назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.

7.4. Издает ЛПА, определяющие политику и вопросы обработки и защиты персональных данных в колледже.

7.5. Осуществляет ознакомление работников колледжа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и ЛПА колледжа в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников.

7.6. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.

7.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь.

7.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных.

7.9. Совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.

 

ГЛАВА 8

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОЛЛЕДЖЕ

8.1. Обработка персональных данных в колледже осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.

8.2. Колледж без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.

8.3. В целях внутреннего информационного обеспечения колледж может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

8.4. Доступ к обрабатываемым в колледже персональным данным разрешается только работникам колледжа, занимающим должности, включенные в перечень должностей структурных подразделений администрации колледжа, при замещении которых осуществляется обработка персональных данных.

 

ГЛАВА 9

ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

И СПОСОБЫ ИХ ОБРАБОТКИ

9.1. Колледж осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).

9.2. Обработка персональных данных в колледже осуществляется следующими способами:

9.2.1.  с использованием средств автоматизации;

9.2.2.  без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

 

ГЛАВА 10

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Отзыв согласия субъекта персональных данных.

10.2. Получение информации, касающейся обработки персональных данных, и изменение персональных данных.

10.3. Требование прекращения обработки персональных данных и (или) их удаления.

10.4. Обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.

 

ГЛАВА 11

МЕРЫ, ПРИНИМАЕМЫЕ КОЛЛЕДЖЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Меры, необходимые и достаточные для обеспечения выполнения колледжем обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:

11.1.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;

11.1.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;

11.1.3. получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;

11.1.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в колледже;

11.1.5. издание документов, определяющих политику колледжа в отношении обработки персональных данных;

11.1.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных в колледже, с положениями законодательства о персональных данных;

11.1.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

11.1.8. осуществление технической и криптографической защиты персональных данных в колледже в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;

11.1.9. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику колледжа в отношении обработки персональных данных, до начала такой обработки;

11.1.10.        прекращение обработки персональных данных при отсутствии оснований для их обработки;

11.1.11.        незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;

11.1.12.        осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;

11.1.13.        ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;

11.1.14.        осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с ЛПА колледжа, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных колледжа.

 

ГЛАВА 12

КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛПА КОЛЛЕДЖА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Контроль за соблюдением структурными подразделениями колледжа законодательства Республики Беларусь и ЛПА колледжа в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях колледжа законодательству Республики Беларусь и ЛПА колледжа в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

12.2. Внутренний контроль за соблюдением структурными подразделениями колледжа законодательства Республики Беларусь и ЛПА колледжа в области персональных данных, в том числе требований к защите персональных данных, осуществляется заместителем директора по учебной работе (в период его отсутствия – заместителем директора по учебно-производственной работе).

12.3. Персональная ответственность за соблюдением требований законодательства Республики Беларусь и ЛПА колледжа в области персональных данных в структурных подразделениях колледжа, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях колледжа возлагается на их руководителей.

 

Юрисконсульт                                                                 Н.А.Саханько

 

Политика рассмотрена и одобрена на заседании совета колледжа от 30.08.2023, протокол № 1.