Министерство финансов УТВЕРЖДАЮ
Республики Беларусь Директор учреждения образования
«Минский государственный
Учреждение образования финансово-экономический колледж»
«Минский государственный _______________ О.А.Бесько
финансово-экономический колледж» 01.09.2023
ПОЛИТИКА ОПЕРАТОРА
01.09.2023 № 1-4/30
в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки персональных данных в учреждении образования «Минский государственный финансово-экономический колледж» (далее – Политика) (далее – колледж) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в колледже персональных данных, функции колледжа при обработке персональных данных, права субъектов персональных данных, а также реализуемые в колледже требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов (далее – НПА) Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных правовых актов (далее – ЛПА), регламентирующих в колледже вопросы обработки персональных данных работников колледжа и других субъектов персональных данных.
ГЛАВА 2
ПРАВОВЫЕ ИСТОЧНИКИ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОЛЛЕДЖЕ
2.1. Политика в отношении обработки персональных данных в колледже определяется в соответствии со следующими НПА:
2.1.1. Конституция Республики Беларусь;
2.1.2. Трудовой кодекс Республики Беларусь;
2.1.3. Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
2.1.4. Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;
2.1.5. Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
2.1.6. иные НПА Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
2.2. В целях реализации положений Политики в колледже разрабатываются соответствующие ЛПА и иные документы, в том числе:
2.2.1. Положение об обработке и защите персональных данных в колледже (приложение 1);
2.2.2. Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные (приложение 2);
2.2.3. Положение об уничтожении (удалении) персональных данных (приложение 3);
2.2.4. Полоожение о порядке допуска работников и иных лиц к обработке персональных данных (приложение 4) и иные ЛПА и документы, регламентирующие в колледже вопросы обработки персональных данных.
ГЛАВА 3
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛПА КОЛЛЕДЖА, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
3.2. Блокирование персональных данных – прекращение доступа к персональным данным без их удаления.
3.3. Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
3.4. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.5. Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.6. Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.7. Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
3.8. Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
3.9. Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.10. Специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.11. Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных.
3.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства.
3.13. Удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.14. Физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
3.15. Информация – сведения (сообщения, данные) независимо от формы их представления.
3.16. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
ГЛАВА 4
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Колледж, являясь оператором персональных данных, осуществляет обработку персональных данных работников колледжа и других субъектов персональных данных, не состоящих с колледжем в трудовых отношениях.
4.2. Обработка персональных данных в колледже осуществляется с учетом необходимости обеспечения защиты прав и свобод работников колледжа и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
4.2.1. обработка персональных данных осуществляется на законной и справедливой основе;
4.2.2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
4.2.3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
4.2.4. обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
4.2.5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
4.2.6. обработка персональных данных носит прозрачный характер. Субъекту персональных данных в может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
4.2.7. оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
4.2.8. хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
4.3. Персональные данные обрабатываются в колледже в целях:
4.3.1. обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных НПА Республики Беларусь, ЛПА колледжа;
4.3.2. осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на колледж, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы;
4.3.3. регулирования трудовых отношений с работниками колледжа (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
4.3.4. защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
4.3.5. подготовки, заключения, исполнения и прекращения договоров с контрагентами;
4.3.6. обеспечения пропускного и внутриобъектового режимов на объектах колледжа;
4.3.7. формирования справочных материалов для внутреннего информационного обеспечения деятельности колледжа;
4.3.8. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
4.3.9. осуществления прав и законных интересов колледжа в рамках осуществления видов деятельности, предусмотренных Уставом и иными ЛПА колледжа, либо достижения общественно значимых целей;
4.3.10. в иных законных целях.
ГЛАВА 5
ПЕРЕЧНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В КОЛЛЕДЖЕ
5.1. Работники колледжа.
5.2. Учащиеся колледжа.
5.3. Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в гл. 4 Политики).
ГЛАВА 6
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ В КОЛЛЕДЖЕ
6.1. Перечень персональных данных, обрабатываемых в колледже, определяется в соответствии с законодательством Республики Беларусь и ЛПА колледжа с учетом целей обработки персональных данных, указанных в гл. 4 Политики.
6.2. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, в колледже не осуществляется.
ГЛАВА 7
ФУНКЦИИ КОЛЛЕДЖА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и ЛПА колледжа в области персональных данных.
7.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.3. Назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
7.4. Издает ЛПА, определяющие политику и вопросы обработки и защиты персональных данных в колледже.
7.5. Осуществляет ознакомление работников колледжа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и ЛПА колледжа в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников.
7.6. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
7.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь.
7.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных.
7.9. Совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
ГЛАВА 8
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОЛЛЕДЖЕ
8.1. Обработка персональных данных в колледже осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
8.2. Колледж без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
8.3. В целях внутреннего информационного обеспечения колледж может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
8.4. Доступ к обрабатываемым в колледже персональным данным разрешается только работникам колледжа, занимающим должности, включенные в перечень должностей структурных подразделений администрации колледжа, при замещении которых осуществляется обработка персональных данных.
ГЛАВА 9
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
И СПОСОБЫ ИХ ОБРАБОТКИ
9.1. Колледж осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
9.2. Обработка персональных данных в колледже осуществляется следующими способами:
9.2.1. с использованием средств автоматизации;
9.2.2. без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
ГЛАВА 10
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Отзыв согласия субъекта персональных данных.
10.2. Получение информации, касающейся обработки персональных данных, и изменение персональных данных.
10.3. Требование прекращения обработки персональных данных и (или) их удаления.
10.4. Обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
ГЛАВА 11
МЕРЫ, ПРИНИМАЕМЫЕ КОЛЛЕДЖЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Меры, необходимые и достаточные для обеспечения выполнения колледжем обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
11.1.1. предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
11.1.2. разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
11.1.3. получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
11.1.4. назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в колледже;
11.1.5. издание документов, определяющих политику колледжа в отношении обработки персональных данных;
11.1.6. ознакомление работников, непосредственно осуществляющих обработку персональных данных в колледже, с положениями законодательства о персональных данных;
11.1.7. установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
11.1.8. осуществление технической и криптографической защиты персональных данных в колледже в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
11.1.9. обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику колледжа в отношении обработки персональных данных, до начала такой обработки;
11.1.10. прекращение обработки персональных данных при отсутствии оснований для их обработки;
11.1.11. незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
11.1.12. осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
11.1.13. ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
11.1.14. осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с ЛПА колледжа, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных колледжа.
ГЛАВА 12
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛПА КОЛЛЕДЖА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Контроль за соблюдением структурными подразделениями колледжа законодательства Республики Беларусь и ЛПА колледжа в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях колледжа законодательству Республики Беларусь и ЛПА колледжа в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
12.2. Внутренний контроль за соблюдением структурными подразделениями колледжа законодательства Республики Беларусь и ЛПА колледжа в области персональных данных, в том числе требований к защите персональных данных, осуществляется заместителем директора по учебной работе (в период его отсутствия – заместителем директора по учебно-производственной работе).
12.3. Персональная ответственность за соблюдением требований законодательства Республики Беларусь и ЛПА колледжа в области персональных данных в структурных подразделениях колледжа, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях колледжа возлагается на их руководителей.
Юрисконсульт Н.А.Саханько
Политика рассмотрена и одобрена на заседании совета колледжа от 30.08.2023, протокол № 1.