ПОЛОЖЕНИЕ
о политике в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящее Положение в отношении обработки персональных данных (далее – Положение) разработано во исполнение требований Закона Республики Беларусь от 7 мая 2021 г. № 99-3 «О защите персональных данных» (далее – Закон) и определяет политику обработки персональных данных учреждением образования «Борисовский государственный медицинский колледж» (далее – колледж, оператор) и меры по обеспечению защиты и безопасности персональных данных, принимаемые оператором.
2. Положение действует в отношении всех процессов обработки персональных данных, которые колледж получает о субъекте персональных данных, и структурных подразделений, их обрабатывающих.
3. Требования настоящего Положения обязательны для исполнения всеми работниками колледжа, получившими в установленном порядке доступ к персональным данным.
4. Целью настоящего Положения является обеспечение надлежащей защиты персональных данных от несанкционированного доступа и разглашения, соблюдение прав и свобод гражданина при обработке его персональных данных, в том числе обеспечение защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
5. Нормы настоящего Положения служат основой для разработки локальных правовых актов, регламентирующих в колледже вопросы обработки, защиты, обеспечения конфиденциальности персональных данных.
6. Актуальная редакция Положения размещена в свободном доступе в глобальной компьютерной сети Интернет по адресу: https://borisov-med.by/index.php/glavnaya/politika-organizatsii-v-oblasti-zashchity-personalnykh-dannykh.html
7. В настоящем Положении используются следующие основные термины и их определения:
биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.);
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
интернет-ресурс – интернет-сайт, страница интернет-сайта, веб-портал, форум, блог, чат, приложение для мобильного устройства и другие ресурсы, имеющие подключение к сети Интернет;
информационный ресурс – информация с реквизитами, позволяющими ее идентифицировать, находящаяся в распоряжении Оператора и представленная на любом материальном носителе в форме, пригодной для ее обработки, хранения или передачи;
информация – сведения (сообщения, данные) независимо от формы их представления;
кандидат – физическое лицо, претендующее на вакантную должность в колледже;
контрагент – физическое или юридическое лицо, индивидуальный предприниматель, выступающие одной из сторон сделки;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица (лиц);
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Иные термины и их определения, употребляющиеся в настоящем Положении, используются в значениях, определенных законодательством.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. Обработка персональных данных осуществляется на основе следующих принципов:
согласия субъекта персональных данных, за исключением случаев, установленных законодательством. Субъект персональных данных дает согласие на обработку персональных данных на период работы или учебы в колледже, если иное не предусмотрено законодательством;
ограничения обработки достижением конкретных, заранее заявленных законных целей, не допущения обработки, не совместимой с первоначально заявленными целями обработки;
соответствия содержания и объема обрабатываемых персональных данных заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
обеспечения точности, достаточности персональных данных при их обработке, а в необходимых случаях и актуальности по отношению к заявленным целям обработки;
прозрачности (в случаях, предусмотренных Законом, субъекту персональных данных предоставляется соответствующая информация, касающаяся обработки его персональных данных).
обеспечения принятия необходимых и достаточных мер по защите персональных данных от неправомерного (несанкционированного или случайного) доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий;
обеспечения хранения персональных данных в форме, позволяющей идентифицировать субъект персональных данных, не дольше, чем этого требуют заявленные цели их обработки;
9. Целями обработки колледжем персональных данных являются:
обеспечение защиты жизни, здоровья, имущества или иных жизненно важных интересов субъектов персональных данных;
ведение кадровой работы и организация учета работников колледжа, в том числе привлечение и отбор кандидатов для работы в колледже;
ведение индивидуального (персонифицированного) учета застрахованных лиц;
ведение воинского учета;
ведение бухгалтерского и налогового учета;
начисление и перечисление заработной платы, назначение и выплата пособий;
заполнение и передача в государственные органы и иные уполномоченные организации требуемых форм отчетности;
подготовка документов для назначения пенсий;
формирование справочных и аналитических материалов для внутреннего информационного обеспечения деятельности колледжа в рамках выполнения стоящих перед ним задач;
формирование резерва руководящих кадров;
выявление конфликта интересов;
осуществление административных процедур;
обеспечение пропускного и внутриобъектового режимов на объектах колледжа;
исполнения судебных актов, актов государственных органов и иных организаций, а также должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
организация и проведение приемной компании для поступления на обучение в колледж;
осуществление образовательной и внеаудиторной деятельности в рамках образовательного процесса;
анализ закрепляемости молодых специалистов;
взыскание в доход бюджета средств, затраченных государством на подготовку специалиста;
возмещение расходов государства на содержание детей, находящихся на государственном обеспечении;
защита прав и интересов учащихся, находящихся на гособеспечении;
обработка сообщений и запросов, поступивших от субъекта персональных данных;
осуществление хозяйственной деятельности (заключение с контрагентами любых видов договоров и их последующее исполнение);
профориентация, в том числе предоставления субъекту персональных данных информации о предоставляемых оператором услугах, медицинское просвещение населения;
реализация государственных программ;
осуществление иных функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на колледж или предусмотренных Уставом.
10. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме, в том числе посредством проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе оператора;
11. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:
кандидаты на работу;
работники колледжа, в том числе бывшие работники, их супруги и близкие родственники;
лица, являющиеся кандидатами в резерв руководящих кадров;
лица, не являющиеся работниками колледжа, при обработке наградных документов колледжем;
студенты, иные лица, прибывшие в колледж на практику, стажировку;
контрагенты – физические лица, в том числе потенциальные (при заключении гражданско-правовых договоров);
представители потенциальных контрагентов;
посетители интернет–ресурсов;
лица, предоставившие персональные данные колледжу иным путем.
13. К персональным данным, обрабатываемым колледжем, относятся:
фамилия, собственное имя, отчество;
пол;
число, месяц, год рождения;
идентификационный номер;
паспортные данные;
место рождения;
цифровой фотопортрет;
данные:
о гражданстве (подданстве);
о регистрации по месту жительства и (или) месту пребывания;
о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным;
о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
об образовании, ученой степени, ученом звании;
о роде занятий;
о пенсии, ежемесячном денежном содержании по законодательству о государственной службе, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;
о налоговых обязательствах;
об исполнении воинской обязанности;
об инвалидности;
о наличии исполнительного производства на исполнении в органах принудительного исполнения.
14. Оператором может обрабатываться следующая техническая информация:
IР-адрес;
информация из браузера;
данные из файлов cookie;
адрес запрашиваемой страницы;
история запросов и просмотров на интернет-ресурсах оператора.
15. Оператор обрабатывает специальные персональные данные только при условии согласия субъекта персональных данных либо без согласия в случаях, предусмотренных законодательством.
ГЛАВА 4
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
16. Оператор имеет право:
получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;
в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом.
17. Оператор обязан:
разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
обеспечивать защиту персональных данных в процессе их обработки;
хранить персональные данные в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных;
предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.
ГЛАВА 5
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
18. Субъект персональных данных имеет право:
получать информацию, касающуюся обработки его персональных данных, в том числе о предоставлении своих персональных данных третьим лицам на условиях, определенных Законом;
на отзыв в любое время без объяснения причин своего согласия на обработку персональных данных;
обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие оператора при обработке его персональных данных;
требовать от оператора:
изменения его персональных данных в случае, если персональные данные являются неполными или устаревшими;
бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, предусмотренных Законом и иными законодательными актами;
получать любые разъяснения оператора по интересующим вопросам, касающимся обработки его персональных данных;
осуществления иных прав, предусмотренных законодательством Республики Беларусь.
19. Субъект персональных данных обязан:
предоставлять оператору достоверные персональные данные;
своевременно сообщать оператору об изменении своих персональных данных;
осуществлять свои права в соответствии с законодательством в области обработки и защиты персональных данных;
исполнять иные обязанности, предусмотренные законодательством в сфере защиты персональных данных при их обработке.
ГЛАВА 6
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
20. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом.
21. Безопасность персональных данных, обрабатываемых оператором, обеспечивается посредством реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований законодательства в области защиты персональных данных.
22. Лица, передавшие оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
23. Настоящее Положение вступает в силу со дня его утверждения.
24. Оператор имеет право изменять настоящее Положение в одностороннем порядке без предварительного согласования и последующего уведомления субъекта персональных данных.
25. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящем Положении, регулируются законодательством.
Директор А.А.Насанович