Политика в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки персональных данных (далее – Политика) в государственном учреждении культуры «Централизованная библиотечная сеть Быховского района» (далее – Оператор) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции работников при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором меры по защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон № 99-З) и иных нормативных правовых актов Республики Беларусь в области защиты персональных данных.
1.3. Целью настоящей Политики является обеспечение надлежащей защиты персональных данных от несанкционированного доступа и разглашения, соблюдение прав и свобод гражданина при обработке его персональных данных, в том числе обеспечение защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих вопросы обработки и защиты персональных данных работников Оператора и других субъектов персональных данных, в том числе пользователей Оператора.
1.5. В настоящей Политике используются основные термины и определения, предусмотренные Законом № 99-З. Иные термины и их определения, употребляющиеся в настоящем Положении, используются в значениях, определенных законодательством Республики Беларусь.
1.6. При организации процессов обработки персональных данных Оператор исходит из необходимости участия всех работников в рамках их должностных обязанностей в сохранности персональных данных и прозрачности при их обработке.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор осуществляет обработку персональных данных своих работников и других субъектов персональных данных, не состоящих с Оператором в трудовых отношениях.
2.2. Обработка персональных данных осуществляется на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных носит прозрачный характер. Субъекту персональных данных предоставляется соответствующая информация, касающаяся обработки его персональных данных;
- оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
- хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2.3. Персональные данные обрабатываются Оператором в целях:
- обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Оператора;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- ведения кадровой работы и организации учета работников Оператора и кандидатов на трудоустройство;
- архивного хранения документов;
- регулирования трудовых отношений с работниками Оператора (содействие в трудоустройстве, оформление документов при трудоустройстве (личное дело и др.), обучение и продвижение по службе, формирование резерва кадров, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, направление на медицинский осмотр и др.);
- ведения индивидуального (персонифицированного) учета застрахованных лиц;
- ведения в пределах компетенции воинского учета;
- ведения бухгалтерского и налогового учета, расчета и выплат заработной платы (премий и др.), расчета и выплат предусмотренных законодательством возмещений по понесенным расходам, компенсаций, обязательного социального страхования, налоговых вычетов и материальной помощи;
- направления в командировки и иные служебные поездки;
- ведения видеонаблюдения для обеспечения защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- обеспечения охраны труда, расследования несчастных случаев на производстве, пожарной безопасности и защиты от чрезвычайных ситуаций;
- заключения, исполнения и расторжения договоров с контрагентами;
- регистрации в качестве пользователя Оператора;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
- создания, редактирования, сопровождения и распространения информационных ресурсов (баз данных), содержащих информацию о субъектах персональных данных;
- создания, редактирования и распространения информационной продукции, содержащей персональные данные субъектов;
- организации и проведения научно-исследовательских работ;
- редакционно-издательской деятельности;
- обеспечения сохранности библиотечных фондов;
- идентификации и авторизации пользователей в лицензионных информационных ресурсах, приобретаемых Оператором для предоставления удаленного доступа к ним;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- осуществления административных процедур (выдача справок о заработной плате, о месте работы и др.);
- рассмотрения обращений граждан и работников;
- оказания услуг Оператором (информационные услуги и др.);
- выдачи доверенностей и иных уполномочивающих документов при представлении интересов Оператора в государственных органах и иных организациях;
- проведения и организации мероприятий, обеспечения участия в них субъектов персональных данных (конференции, семинары, выставки и др.);
- осуществления фото- и видеосъемки в помещениях Оператора с последующим использованием информации для размещения в социальных сетях, на интернет-сайтах Оператора, в рекламно-информационных изданиях;
- обработки персональных данных в рамках работы комиссий Оператора (по оздоровлению и санаторнокуротному лучению, по назначению пособий и др.)
- сбора информации для проведения исследований через формы обратной связи, проведения опросов, интервью, тестирований, содержащих информацию о субъектах персональных данных;
- информирования на интернет-сайтах Оператора о работе Оператора;
- использования персональных данных в рекламных и маркетинговых целях, в том числе направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного и рекламного характера, связанных с работами (услугами) Оператора;
- в иных целях, не противоречащих законодательству.
2.4. Правовыми основаниями при обработке персональных данных являются:
- Трудовой кодекс Республики Беларусь и иные акты законодательства, регулирующие трудовые и связанные с ними отношения;
- Кодекс Республики Беларусь о культуре;
- Гражданский кодекс Республики Беларусь и иные акты законодательства, регулирующие вопросы заключения, исполнения и прекращения гражданско-правовых договоров;
- законодательство о налогах и бухгалтерском учете;
- локальные правовые акты, регулирующие вопросы формирования информационных ресурсов и обслуживания пользователей;
- иные нормативные правовые акты, относящиеся к деятельности Оператора.
ГЛАВА 3
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
3.1. Содержание и объем персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Оператора реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
3.2. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Республики Беларусь, локальными правовыми актами Оператора, с учетом целей обработки персональных данных, указанных в главе 2 Политики и включает в себя:
- фамилия, собственное имя, отчество (если таковое имеется);
- число, месяц, год рождения;
- паспортные данные;
- цифровой фотопортрет;
- данные о гражданстве (подданстве);
- данные о регистрации по месту жительства и (или) месту пребывания;
- данные о семейном положении, супруге, опекунах, попечителях, ребенке (детях) физлица;
- данные об образовании, ученой степени, ученом звании;
- данные медицинского характера;
- номер и серию страхового свидетельства государственного социального страхования;
- телефон мобильный, домашний;
- место учебы (факультет, курс, форма обучения);
- место работы, должность;
- e-mail;
- другие данные.
3.3. Персональными данными является не только информация, прямо идентифицирующая или позволяющая идентифицировать физическое лицо, но и та информация, которая в совокупности с другой имеющейся или доступной информацией с разумной вероятностью может быть использована для идентификации физического лица (информация из браузера, адреса запрашиваемой страницы, история запросов и просмотров на интернет-ресурсах Оператора, e-mail, cookie, IP-адрес и проч.).
3.4. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой принадлежности, состояния здоровья, если иное не установлено законодательством.
ГЛАВА 4
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ
К субъектам персональных данных относятся:
- работники Оператора, в том числе бывшие работники, кандидаты на трудоустройство, а также их близкие родственники и свойственники;
- лица, являющиеся кандидатами в резерв руководящих кадров;
- студенты, иные лица, прибывшие в Учреждение на практику, стажировку;
- пользователи Оператора, в том числе пользователи интернет-сайтов ГУК «Централизованная библиотечная сеть Быховского района», информационных ресурсов Оператора, лицензионных информационных ресурсов, приобретаемых Оператором;
- авторы произведений или иные физические лица, персональные данные которых используются при формировании информационных ресурсов Оператора;
- физические лица при посещении Оператора;
- контрагенты – физические лица, в том числе потенциальные (по договорам);
- физические лица, с которыми Оператор заключил (намерен заключить) договоры гражданско-правового характера;
- физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и соответствует требованиям, установленным законодательством о персональных данных;
- лиц, не являющихся работниками Оператора, при обработке наградных документов Учреждения;
- иные физические лица, выразившие согласие на обработку Оператором их персональных данных, или физические лица, обработка персональных данных которых необходима Оператору для достижения целей, предусмотренных законодательством (для обеспечения реализации целей обработки, указанных в главе 2 Политики).
ГЛАВА 5
УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Процесс обработки персональных данных строится на основных принципах и методах построения организационных, технологических и процедурных аспектов достижения требуемого уровня безопасности информации, персональных данных в автоматизированных системах Оператора.
5.2. Обработка персональных данных, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление Оператором осуществляется следующими способами:
- с использованием средств автоматизации;
- без использования средств автоматизации (на бумажном носителе).
5.3. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь. (Приложение № 3). Согласие субъекта персональных данных может быть получено в письменной форме путем подписания отдельного документа (образец согласия Приложение № 3), в виде электронного документа или в иной электронной форме (путем проставления соответствующей отметки на интернет-ресурсе), а также другим способом, позволяющим установить факт получения согласия субъекта персональных данных.
5.4. До получения согласия субъекта персональных данных ему будет представлена информация о том кому, для каких целей предоставляются персональные данные и какие персональные данные подлежат обработке (образец уведомления Приложение № 1), а также субъекту персональных данных будут разъяснены его права, связанные с обработкой персональных данных, механизм реализации таких прав, последствия дачи согласия или отказа в даче согласия (Приложение № 2).
5.5. В случае необходимости изменения первоначально заявленных целей обработки персональных данных Оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки.
5.6. Для осуществления уставной деятельности ГУК «Централизованная библиотечная сеть Быховского района» не требуется согласие субъекта на обработку его персональных данных при регистрации в качестве пользователя Оператора на основании статьи 6 Закона Республики Беларусь «О защите персональных данных»; части 1 и 3 статьи 151 Кодекса Республики Беларусь о культуре №413 от 20.07.2016; в соответствии с пунктами 2.4 и 2.5 Правил пользования библиотеками государственного учреждения культуры «Централизованная библиотечная сеть Быховского района» (Приложение № 4)
5.7. Согласие кандидата на замещение вакантных должностей может быть получено в письменной форме согласно Приложению № 3 к настоящей Политике. Срок обработки персональных данных кандидата на замещение вакантных должностей – до момента заключения трудового договора или получения отказа в приеме на работу.
5.8. Срок обработки персональных данных работников ГУК «Централизованная библиотечная сеть Быховского района» определяется в соответствии со сроком существования правоотношений между работником и Учреждением, сроками хранения документов на бумажных носителях и документов в электронных базах данных, установленными законодательством.
5.9. Предоставление персональных данных или их части третьим лицам допускается только в случаях, предусмотренных действующим законодательством Республики Беларусь.
5.10. Обработку персональных данных осуществляют работники Оператора, в должностные обязанности которых входят выполнение обязанностей по направлению деятельности.
5.11. При необходимости осуществления трансграничной передачи персональных данных Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев установленных ст.9 Закона № 99-З.
5.12. Источником информации о персональных данных является непосредственно субъект персональных данных, а также информация, полученная из открытых источников. Оператор вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
5.13. При хранении персональных данных Оператором соблюдаются условия, обеспечивающие сохранность персональных данных.
5.14. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
ГЛАВА 6
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА
6.1. Субъект персональных данных имеет право:
- на получение информации, касающейся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных;
- на получение информации о предоставлении своих персональных данных третьим лицам в соответствии с законодательством о персональных данных;
- требовать прекращения обработки своих персональных данных при отсутствии оснований для обработки персональных данных;
- требовать внесения изменений в свои персональные данные, если они являются неполными, устаревшими или неточными;
- требовать удаления (обезличивания) своих персональных данных, их блокирования, если персональные данные являются незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных, если это не противоречит законодательству;
- принимать предусмотренные законодательством меры по защите своих прав;
- отозвать свое согласие на обработку персональных данных посредством подачи Оператору заявления в порядке, установленном ст.41 Закона о защите персональных данных, либо в форме, посредством которой получено его согласие;
6.2. Субъект персональных данных для реализации своих прав подает Оператору заявление в порядке, предусмотренном в уведомлении (Приложение № 2).
6.3. Оператор имеет право:
- обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
- требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
- обрабатывать общедоступные персональные данные физических лиц;
- осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;
- поручить обработку персональных данных уполномоченному лицу при условии обеспечения эффективных средств защиты у третьего лица;
- изменить настоящее Положение в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.
6.4. Оператор обязан:
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных (Приложение № 1, Приложение № 2);
- получать согласие субъекта персональных данных (Приложение № 3) за исключением случаев, определенных Законом № 99-З и иными законодательными актами (Приложение № 4);
- обеспечить защиту персональных данных в процессе их обработки;
- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, определенных Законом № 99-З и иными законодательными актами;
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, определенных Законом № 99-З и иными законодательными актами;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных;
- осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных;
- исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
- выполнять иные обязанности, предусмотренные законодательством.
ГЛАВА 7
МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Для осуществления внутреннего контроля за обработкой персональных данных, назначается ответственное лицо (лицо, на которое возложено выполнение его функций).
Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, осуществляет следующие функции:
- контроль деятельности структурных подразделений Оператора по вопросам соблюдения требований к обработке и защите персональных данных;
- координацию деятельности структурных подразделений Оператора по вопросам обработки и защиты персональных данных;
- организацию разработки локальных правовых актов, регламентирующих вопросы в отношении обработки персональных данных.
7.2. Оператор обеспечивает применение мер защиты персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
7.3. Оператор при обработке персональных данных обеспечивает их защиту и осуществляет следующие мероприятия:
- издание документов, определяющих политику Оператора в отношении обработки персональных данных;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
- неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;
- прекращение обработки персональных данных при отсутствии оснований для их обработки;
- ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
- осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
- ознакомление под роспись работников Оператора, непосредственно осуществляющих обработку персональных данных и имеющих доступ к персональным данным с положениями законодательства о персональных данных, организация обучения работников;
- предупреждение сотрудников Оператора об ответственности, установленной действующим законодательством, за разглашение и передачу персональных данных. Работники и иные лица, виновные в нарушении настоящей Политики, а также законодательства Республики Беларусь в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Республики Беларусь, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательства Республики Беларусь;
- незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных.