ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФИЛИАЛЕ УЧРЕЖДЕНИЯ ОБРАЗОВАНИЯ «БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ» «МИНСКИЙ ТОРГОВЫЙ КОЛЛЕДЖ»
Приложение 1
к приказу директора филиала
от 23.06.2022 № 50.1
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФИЛИАЛЕ УЧРЕЖДЕНИЯ ОБРАЗОВАНИЯ «БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ»
«МИНСКИЙ ТОРГОВЫЙ КОЛЛЕДЖ»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований абз. 3 п. 3 ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-З “О защите персональных данных” (далее – Закон о персональных данных). Политика является локальным правовым актом, регулирующим отношения, связанные с обработкой персональных данных и их защитой при обработке в филиале учреждения образования «Белорусский государственный экономический университет» «Минский торговый колледж» (далее – Филиал, Оператор) и определяет основные принципы, цели, условия и способы обработки персональных данных физических лиц (далее – субъектов персональных данных), перечни субъектов и обрабатываемых персональных данных, функции Оператора при обработке персональных данных, права субъектов персональных данных, а также требования к защите персональных данных.
2. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
3. Место нахождения оператора: 220090, г. Минск, ул. Восточная, д. 183.
4. Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
удаление персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
5. Политика публикуется в свободном доступе в сети Интернет на сайте Оператора https:// bseumtc.by, а также размещается на стендах Оператора по адресу: г. Минск, ул. Восточная, д. 183.
6. Передавая Оператору персональные данные, в том числе посредством электронных средств, субъект персональных данных дает свое согласие на обработку информации на условиях, определенных настоящей Политикой.
ГЛАВА 2
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. Персональные данные обрабатываются Оператором в следующих целях:
7.1. организация приема лиц для получения образования;
7.2. возникновения, изменения и прекращения образовательных отношений;
7.3. заключения, исполнения и прекращения договоров в сфере образовательных правоотношений;
7.4. организации и контроля образовательного процесса, реализации образовательных программ среднего специального образования;
7.5. организации идеологической и воспитательной работы;
7.6. социальной защиты учащихся;
7.7. осуществление доступа к фондам библиотеки;
7.8. обеспечение защиты прав и законных интересов детей, находящихся в социально опасном положении;
7.9. обеспечения местом для проживания в общежитии;
7.10. осуществления учета, расчета и начисления платы за жилищно-коммунальные услуги, за пользование жилым помещением и возмещения расходов на электроэнергию, платы за другие услуги и возмещения налогов, а также предоставления льгот и взыскания задолженности по плате за жилищно-коммунальные услуги, плате за пользование жилым помещением и возмещению расходов на электроэнергию;
7.11. назначение стипендий и иных денежных выплат;
7.12. назначения и выплаты пособий;
7.13. оказание социально-педагогической и психологической помощи;
7.14. организации распределения, перераспределения выпускников, контроля за их трудоустройством, а также за своевременным и полным возмещением денежных средств, затраченных на обучение;
7.15. обработка информации (резюме) кандидата на трудоустройство
7.16. обработка персональных данных в процессе трудовой деятельности
7.17. ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах, постановки на индивидуальный (персонифицированный) учет в системе пенсионного страхования;
7.18. ведения воинского учета;
7.19. ведение бухгалтерского и налогового учета
7.20. формирования официальной статистической информации
7.21. заключения, исполнения и прекращения гражданских договоров, в том числе договоров подряда, возмездного оказания услуг, найма жилого помещения;
7.22. осуществление административных процедур;
7.23. рассмотрение обращений граждан;
7.24. оформления наградных документов;
7.25. удовлетворения потребностей личности в интеллектуальном, культурном, физическом и нравственном развитии;
7.26. реализации процессуальных прав и обязанностей при осуществлении правосудия судом, исполнении судебных постановлений и иных исполнительных документов, совершения исполнительной надписи;
7.27. идентификация зарегистрированного Пользователя;
7.28. обеспечение пропускного режима;
7.29. ведения видеонаблюдения;
7.30. осуществление юридического сопровождения трудовых и договорных отношений, хозяйственной деятельности;
Оператор также осуществляет обработку персональных данных в иных целях, необходимых для осуществления своей деятельности в соответствии с законодательством.
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
8.1. Конституция Республики Беларусь;
8.2. Гражданский кодекс Республики Беларусь;
8.3. Трудовой кодекс Республики Беларусь;
8.4. Налоговый кодекс Республики Беларусь;
8.5. Кодекс об образовании Республики Беларусь;
8.6. Закон о персональных данных;
8.7. Закон Республики Беларусь от 21.07.2008 № 418-З “О регистре населения”;
8.8. Закон Республики Беларусь от 10.11.2008 № 455-З “Об информации, информатизации и защите информации”;
8.9. иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
9. Правовым основанием обработки персональных данных также являются:
9.1. договоры, заключаемые между Оператором и субъектами персональных данных;
9.2. согласие субъектов персональных данных на обработку их персональных данных.
ГЛАВА 4
ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10. Обработка персональных данных осуществляется на основе следующих принципов:
10.1. обработка персональных данных осуществляется на законной и справедливой основе;
10.2. обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
10.3. обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами. Субъект персональных данных дает согласие на обработку персональных данных на неопределенный срок, если иное не предусмотрено законодательством;
10.4. обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
10.5. содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
10.6. обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
10.7. Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
10.8. хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
11. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
ГЛАВА 5
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЧЬИ ДАННЫЕ ПОДВЕРГАЮТСЯ ОБРАБОТКЕ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Содержание и объем обрабатываемых персональных данных
должны соответствовать заявленным целям обработки, предусмотренным в главе 2 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
13. Оператор обрабатывает персональные данные следующих категорий субъектов:
13.1. кандидатов на трудоустройство у Оператора;
13.2. работников Оператора, в том числе уволенных;
13.3. родственников работников Оператора;
13.4. абитуриентов (их законных представителей);
13.5. учащихся (их законных представителей);
13.6. учащихся, находящихся на государственном обеспечении (их родителей);
13.7. учащихся, находящихся в социально опасном положении;
13.8. выпускников;
13.9. пользователей библиотеки;
13.10. граждан, проживающих в общежитии;
13.11. граждан, являющихся стороной по гражданско-правовому договору;
13.12. работников и иных представителей контрагентов, в том числе потенциальных (по договорам), являющихся юридическими лицами либо индивидуальными предпринимателями
13.13. граждан, подавших обращение;
13.14. граждан, обратившихся за осуществлением своих гражданских, экономических, социальных и культурных прав;
13.15. граждан, обратившихся за осуществлением административной процедуры;
13.16. лиц, не являющихся работниками Оператора;
13.17. пользователей сайта и сервиса Оператора;
13.18. граждан, предоставивших персональные данные путем заполнения анкет, в ходе проводимых Оператором мероприятий;
13.19. посетителей;
13.20. лиц, предоставивших персональные данные иным путем.
14. К персональным данным, обрабатываемым Оператором, относятся:
14.1. фамилия, собственное имя, отчество (при наличии);
14.2. дата и место рождения;
14.3. гражданство (подданство);
14.4. пол;
14.5. паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
14.6. идентификационный номер;
14.7. сведения о трудовой деятельности (место работы, должности);
14.8. сведения о регистрации по месту жительства и (или) месту пребывания;
14.9. биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
14.10. личная подпись;
14.11. контактные данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
14.12. сведения о социальных льготах;
14.13. визы и иные документы миграционного учета;
14.14. сведения о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;
14.15. сведения о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
14.16. образование, ученая степень, ученое звание;
14.17. род занятий;
14.18. сведения о пенсии, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;
14.19. отношение к воинской обязанности;
14.20. налоговые обязательства;
14.21. наличие исполнительного производства на исполнении в органах принудительного исполнения;
14.22. национальная принадлежность;
14.23. членство в профессиональных союзах;
14.24. привлечение к административной или уголовной ответственности;
14.25. сведения о переподготовке, повышении квалификации, присвоении категории;
14.26. данные, которые позволяют прямо или косвенно определить физическое лицо или могут быть отождествлены с ним, с учетом законодательных актов и согласно целям обработки персональных данных, указанных в п. 7 Политики.
15. Оператором может обрабатываться следующая техническая информация:
15.1. IP-адрес;
15.2. информация из браузера;
15.3. данные из файлов cookie;
15.4. адрес запрашиваемой страницы;
15.5. история просмотров и запросов на интернет – ресурсах Оператора;
15.6. информация, получаемая при использовании видеокамер, и иных аналогичных средств.
16. Оператор обрабатывает специальные персональные данные только при условии согласия субъекта персональных данных либо без согласия в случаях, предусмотренных законодательством.
ГЛАВА 6
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
17. Оператор имеет право:
17.1. получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
17.2. запрашивать у субъекта персональных данных информацию об актуальности и достоверности представленных персональных данных;
17.3. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;
17.4. поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
17.5. отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
17.6. осуществлять иные права в соответствии с законодательством Республики Беларусь в области обработки и защиты персональных данных.
18. Оператор обязан:
18.1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
18.2. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
18.3. получать согласие субъекта персональных данных на обработку персональных данных, в том числе в случае необходимости изменения первоначально заявленных целей обработки персональных данных при отсутствии иных оснований для такой обработки, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами;
18.4. обеспечивать защиту персональных данных в процессе их обработки;
18.5. в течение пяти рабочих дней после получения заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, касающуюся обработки его персональных данных, либо уведомить о причинах отказа в ее предоставлении;
18.6. в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставить ему информацию о предоставлении его персональных данных третьим лицам в течение года, предшествовавшего дате подачи заявления, за исключением случаев, предусмотренных Законом о персональных данных и иными законодательными актами, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении;
18.7. принимать меры по обеспечению достоверности обрабатываемых им персональных данных путем внесения изменений в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
18.8. в пятнадцатидневный срок после получения заявления субъекта персональных данных вносить соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;
18.9. в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о персональных данных и иными законодательными актами;
18.10. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
18.11. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
18.12. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
18.13. принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
18.14. отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
18.15. выполнять иные обязанности, предусмотренные Законом о персональных данных и иными законодательными актами.
ГЛАВА 7
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
19. Субъект персональных данных имеет право:
19.1. получать информацию, касающуюся обработки своих персональных данных, содержащую: наименование и место нахождения Оператора; подтверждение факта обработки персональных данных Оператором (уполномоченным лицом, при его наличии); его персональные данные и источник их получения; правовые основания и цели обработки персональных данных; срок, на который дано его согласие; иную информацию, предусмотренную законодательством;
19.2. требовать от Оператора уточнения/изменения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
19.3. получать информацию о предоставлении его персональных данных третьим лицам бесплатно не чаще одного раза в год, за исключением случаев, предусмотренных законодательством Республики Беларусь;
19.4. в любое время без объяснения причин отозвать свое согласие на обработку персональных данных путем подачи Оператору соответствующего заявления;
19.5. требовать от Оператора прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Политикой, Законом о персональных данных и иными законодательными актами;
19.6. обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных – Национальный центр по защите персональных данных – в порядке, установленном законодательством об обращениях граждан и юридических лиц;
19.7. принимать иные предусмотренные законом меры по защите своих прав.
20. Субъект персональных данных обязан:
20.1. предоставлять Оператору достоверные и полные персональные данные;
20.2. своевременно сообщать Оператору об изменениях своих персональных данных.
21. Лица, передавшие Оператору недостоверные сведения о себе, либо о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
22. Информация о фактах обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, касающиеся обработки персональных данных, предоставляются Оператором субъекту персональных данных при получении заявления от субъекта персональных данных. По заявлению субъекта персональных данных также осуществляется изменение его персональных данных, отзыв согласия на обработку персональных данных, прекращение обработки персональных данных и/или их удаление.
23. Заявление субъекта персональных данных о предоставлении информации, касающейся обработки его персональных данных, о внесении изменений в персональные данные, об отзыве согласия на обработку персональных данных, о прекращении обработки персональных данных и/или их удалении должно содержать:
– фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
– дату рождения субъекта персональных данных;
– идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
– изложение сути требований субъекта персональных данных;
– личную подпись либо электронную цифровую подпись субъекта персональных данных.
24. Заявление субъекта персональных данных может быть направлено в письменной форме, в форме электронного документа, подписанного электронной цифровой подписью в соответствии с законодательством Республики Беларусь.
25. Если в заявлении субъекта персональных данных не отражены все необходимые сведения (п. 23. Политики) или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Субъекту персональных данных может быть отказано в предоставлении информации в соответствии с п. 3 ст. 11 Закона о персональных данных.
26. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
27. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
28. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.
29. Настоящая Политика вступает в юридическую силу со дня ее утверждения.
30. Оператор имеет право изменять настоящую Политику в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных. Субъекты персональных данных самостоятельно получают на сайте Оператора информацию об изменениях Политики.
31. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством.