Абарона персанальных дадзеных

                        УТВЕРЖДАЮ

Заведующий ГУО “Детский сад №1 г.Микашевичи”

                                           ____________ Н.А. Кислюк

                                           «___»_____________ 20   г.

ИНСТРУКЦИЯ

ответственного за организацию обработки

персональных данных

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Данная Инструкция определяет основные обязанности и права ответственного за организацию обработки персональных данных государственного учреждения образования «Детский сад №1 г.Микашевичи» (далее – Учреждения).

1.2. Ответственный за организацию обработки персональных данных является штатным сотрудником Учреждения и назначается приказом заведующего.

1.3. Решение вопросов организации защиты персональных данных в Учреждении входит в прямые служебные обязанности ответственного за организацию обработки персональных данных.

1.4. Ответственный за организацию обработки персональных данных обладает правами доступа к любым носителям персональных данных Учреждения.

II. Термины и определения

2.1. Автоматизированное рабочее место (АРМ) – персональный компьютер и подключенные к нему периферийные устройства – принтер, многофункциональные устройства, сканеры и т.д.

2.2. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Доступ к информации – возможность получения информации и её использования.

2.4. Защита информации — деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на информацию, то есть процесс, направленный на достижение информационной безопасности.

2.5. Информация - сведения (сообщения, данные) независимо от формы их представления.

2.6. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.7. Несанкционированный доступ (НСД) – доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) в компьютерных базах данных, файловых хранилищах, архивах, секретных частях и т. д. различных организаций путём изменения (повышения, фальсификации) своих прав доступа.

2.8. Носитель информации - любой материальный объект или среда, используемый для хранения или передачи информации.

2.9. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.10. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) .

2.11. Средство защиты информации (СЗИ) – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

2.12. Угрозы безопасности персональных данных (УБПДн) - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

III. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

IV. ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ

Ответственный за организацию обработки персональных данных обязан:

4.1. Знать перечень и условия обработки персональных данных в Учреждении.

4.2. Знать и предоставлять на утверждение заведующему изменения к списку лиц, доступ которых к персональным  данным необходим для выполнения ими своих служебных (трудовых) обязанностей.

4.3. Участвовать в определении полномочий пользователей ИСПДн (оформлении разрешительной системы доступа), минимально необходимых им для выполнения служебных (трудовых) обязанностей.

4.4. Осуществлять учёт документов, содержащих персональные данные, их уничтожение, либо контроль процедуры их уничтожения.

4.5. Блокировать доступ к персональным данным при обнаружении нарушений порядка их обработки.

4.6. Реагировать на попытки несанкционированного доступа к информации в установленном ст.4 настоящей Инструкции порядке.

4.7. Контролировать осуществление мероприятий по установке и настройке средств защиты информации.

4.8. Контролировать оперативное внесение изменений в конфигурацию технических средств ИСПДн, требовать отражения соответствующих изменений в «Техническом паспорте информационной системы персональных данных».

4.9. По указанию руководства своевременно и точно отражать изменения в локальных нормативно-правовых актах по управлению средствами защиты информации в ИСПДн и правилам обработки персональных данных.

4.10. Проводить занятия и инструктажи с сотрудниками и руководителями структурных подразделений о порядке работы с персональными данными и изучение руководящих документов в области обеспечения безопасности персональных данных.

4.11. Проводить разбирательства и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, нарушения правил работы с документами, содержащими персональные данные, или по другим нарушениям, которые могут привести к снижению уровня защищённости персональных данных.

4.12. Контролировать соблюдение сотрудниками локальных документов, регламентирующих порядок работы с программными, техническими средствами ИСПДн и персональными данными.

4.13. Вносить свои предложения по совершенствованию мер защиты персональных данных в ИСПДн, разработке и принятии мер по предотвращению возможных опасных последствий нарушений, приводящих к снижению уровня защищённости персональных данных.

4.14. Организовать учет обращений субъектов персональных данных, контролировать заполнение «Журнала учета обращений субъектов персональных данных» .

4.15. Представлять интересы Учреждения при проверках надзорных органов в сфере обработки персональных данных.

4.16. Знать законодательство РБ о персональных данных, следить за его изменениями.

4.17. Выполнять иные мероприятия, требуемые нормативными документами по защите персональных данных.

V. ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ ПОПЫТОК

НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

5.1. К попыткам несанкционированного доступа относятся:

5.1.1. сеансы работы с  персональными данными незарегистрированных пользователей, или пользователей, нарушивших установленную периодичность доступа, или срок действия полномочий которых истёк, или превышающих свои полномочия по доступу к данным;

5.1.2. действия третьего лица, пытающегося получить доступ (или уже получившего доступ) к ИСПДн, при использовании учётной записи администратора или другого пользователя ИСПДн, методом подбора пароля, использования пароля, разглашённого владельцем учётной записи или любым другим методом.

5.2. При выявлении факта несанкционированного доступа ответственный за организацию обработки персональных данных обязан:

5.2.1. прекратить несанкционированный доступ к персональным данным;

5.2.2. доложить заведующему Учреждения служебной запиской о факте несанкционированного доступа, его результате (успешный, неуспешный) и предпринятых действиях;

5.2.3. известить руководителя структурного подразделения, в котором работает пользователь, от имени учетной записи которого была осуществлена попытка несанкционированного доступа, о факте несанкционированного доступа;

5.2.4. известить администратора безопасности ИСПДн о факте несанкционированного доступа.

VI. ПРАВА

         Ответственный за организацию обработки персональных данных имеет право:

6.1. Требовать от сотрудников выполнения локальных нормативно-правовых актов в части работы с персональными данными.

6.2. Блокировать доступ к персональным данным любых пользователей, если это необходимо для предотвращения нарушения режима защиты персональных данных.

6.3. Проводить служебные расследования и опрашивать пользователей по фактам несоблюдения условий хранения носителей персональных данных, нарушения правил работы с техническими и программными средствами ИСПДн, в том числе со средствами защиты информации, или по другим нарушениям, которые могут привести к снижению уровня защищённости персональных данных.

VII. ОТВЕТСТВЕННОСТЬ

7.1. Ответственный за организацию обработки персональных данных несёт персональную ответственность за соблюдение требований настоящей Инструкции, за качество проводимых им работ по обеспечению безопасности персональных данных и за все действия, совершенные от имени его учётной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения несанкционированного использования его учётной записи.

7.2. Ответственный за организацию обработки персональных данных при нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несёт дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

ПОЛОЖЕНИЕ

о политике в отношении обработки куки

в государственном учреждении образования «Детский сад№1 г. Микашевичи»

1. Куки (англ. cookies) являются текстовым файлом, сохраненным в браузере компьютера (мобильного устройства) пользователя официального интернет-сайта государственного учреждения образования «Детский сад № 1 г. Микашевичи» (далее – сайт) при  его  посещении для отражения совершенных действий. Этот файл позволяет не вводить заново или выбирать те же параметры при повторном посещении сайта, например, выбор языковой версии.

Целью обработки куки является обеспечение удобства пользователей сайта и повышение качества его функционирования.

Мы не передаем куки третьим лицам и не используем их для идентификации субъектов персональных данных.

2. На сайте обрабатываются следующие типы куки:

функциональные – позволяют обеспечить индивидуальный опыт использования сайта и устанавливаются в ответ на действия субъекта персональных данных;

статистические – позволяют хранить историю посещений страниц сайта в целях повышения качества его функционирования, чтобы определить наиболее и наименее популярные страницы.

3. Обрабатываемые на сайте куки и сроки их хранения:

настройка куки (функциональные), хранятся не более года;

выбор версии для слабовидящих (функциональные), часть из которых хранятся во время пользования сайтом, а остальные не более суток;

выбор языковых предпочтений (функциональные), хранятся не более года.

4. Пользователи могут принять или отклонить все обрабатываемые на сайте куки.

При этом корректная работа сайта возможна только в случае использования функциональных куки. В случае их отключения может потребоваться совершать повторный выбор предпочтений куки, языковой версии сайта, а также могут некорректно отображаться версии страниц для слабовидящих.

Отключение статистических куки не позволяет определять предпочтения пользователей сайта, в том числе наиболее и наименее популярные страницы и принимать меры по совершенствованию работы сайта исходя из предпочтений пользователей.

5. Помимо настроек куки на сайте субъекты персональных данных могут принять или отклонить сбор всех или некоторых куки в настройках своего браузера.

При этом некоторые браузеры позволяют посещать интернет-сайты в режиме «инкогнито», чтобы ограничить хранимый на компьютере объем информации и автоматически удалять сессионные куки. Кроме того, субъект персональных данных может удалить ранее сохраненные куки, выбрав соответствующую опцию в истории браузера.

Подробнее о параметрах управления куки можно ознакомиться, перейдя по внешним ссылкам, ведущим на соответствующие страницы сайтов основных браузеров:

[Firefox](https://support.mozilla.org/ru/kb/udalenie-kukov-dlya-udaleniya-informacii-kotoruyu-)

[Chrome](https://support.google.com/chrome/answer/95647?hl=ru)

[Opera](https://help.opera.com/ru/latest/web-preferences/#Управление-файлами-cookie)

[Microsoft Edge](https://support.microsoft.com/ru-ru/microsoft-edge/удаление-файлов-cookie-в-microsoft-edge-63947406-40ac-c3b8-57b9-2a946a29ae09)

[Internet Explorer](https://support.microsoft.com/ru-ru/windows/удаление-файлов-cookie-и-управление-ими-168dab11-0753-043d-7c16-ede5947fc64d)шении обработки cookies

Политика в отношении обработки персональных данных

в ГУО «Детский сад №1 г.Микашевичи»

1.Общие положения

1.1.ГУО «Детский сад №1 г.Микашевичи» (далее – учреждение образования) уделяет внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных. Настоящая Политика является одной из принимаемых учреждением образования мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).

Юридический и почтовый адрес учреждения образования (оператор):

225687 Брестская область, Лунинецкий район, г.Микашевичи, ул. Первомайская,д.10б _______________________________________________

адрес в сети Интернет: _______________________________________

e-mail: _sad1_mik@guo.bc.by_____________________________

1.2.Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации. Политика не применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников и бывших работников), при видеонаблюдении, а также при обработке cookie-файлов на интернет-сайте учреждения образования.

1.3.В настоящей Политике используются термины и их определения в значении, определенном Законом.

1.4.Учреждение образования осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.

2.Цели, категории субъектов персональных данных, чьи данные подвергаются обработке, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных

2.1.Учреждение образования осуществляет обработку персональных данных субъектов персональных данных определенных категорий субъектов персональных данных в объеме, на правовых основаниях и в сроки применительно к каждой цели .

2.2.Учреждение образования осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.

2.3.Учреждение образования вправе предоставлять персональные данные третьим лицам только при наличии оснований, предусмотренных законодательными актами.

3.Права субъектов персональных данных

3.1.Субъект персональных данных имеет право:

3.1.1.на получение информации, касающейся обработки своих персональных данных учреждением образования, содержащей:

• сведения о наименовании и месте нахождения учреждения образования;
• подтверждение факта обработки персональных данных субъекта персональных данных в учреждении образования;
• его персональные данные и источник их получения;
• правовые основания и цели обработки персональных данных;
• срок, на который дано согласие;
• наименование и место нахождения уполномоченных лиц, если обработка персональных данных поручена таким лицам;
• иную информацию, предусмотренную законодательством;

3.1.2.на получение от учреждения образования информации о предоставлении своих персональных данных, обрабатываемых в учреждении образования, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

3.1.3.на обжалование действий (бездействия) и решений учреждения образования, нарушающих его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь.

3.2.Для реализации своих прав субъект персональных данных подает в учреждение образования заявление в письменной форме (почтой/нарочно) или в виде электронного документа, а в случае реализации права на отзыв согласия – в форме, в которой оно было получено.

Такое заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

3.3.Учреждение образования не рассматривает заявления субъектов персональных данных, не соответствующие требованиям пункта 3.2 настоящей Политики, в том числе направленные иными способами (e-mail, телефон, факс и т.п.).

3.4.За содействием в реализации прав, связанных с обработкой персональных данных в учреждении образования, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в учреждении образования, по телефону: (44)462-18-87.

Приложение 1

Цели, объем, правовые основания и сроки обработки персональных данных учреждением образования

Приложение 2

Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению учреждения образования

Примерная политика в отношении обработки персональных данных

для УОСО, УДО[1]

(по состоянию на 1 апреля 2024 г.)

1. Общие положения

1.1. Учреждение образования уделяет внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных. Настоящая Политика является одной из принимаемых учреждением образования мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).

Юридический и почтовый адрес учреждения образования (оператор):

___________________________________________________________

адрес в сети Интернет: _______________________________________

e-mail: _____________________________________________________

1.2. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации. Политика не применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников и бывших работников), при видеонаблюдении, а также при обработке cookie-файлов на интернет-сайте учреждения образования.

Справочно.

Оператором может быть разработана либо одна общая Политика в виде отдельного (самостоятельного) документа, либо несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора порядок обработки персональных данных в определенных сферах или в связи с определенными процессами. В случае, если принято решение о разработке нескольких политик, таковыми могут выступать:

политика в отношении обработки персональных данных при осуществлении учреждением образования функций, возложенных на него законодательством об образовании;

политика в отношении обработки персональных данных в процессе трудовой деятельности;

политика видеонаблюдения;

политика в отношении обработки cookie-файлов на интернет-сайте учреждения образования.

1.3. В настоящей Политике используются термины и их определения в значении, определенном Законом.

1.4. Учреждение образования осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.

2. Цели, категории субъектов персональных данных, чьи данные подвергаются обработке, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных

2.1. Учреждение образования осуществляет обработку персональных данных субъектов персональных данных определенных категорий субъектов персональных данных в объеме, на правовых основаниях и в сроки применительно к каждой цели согласно приложению 1 к настоящей Политике.

Справочно.

В приложении 1 к настоящей Политике размещаются цели, объем, правовые основания и сроки обработки персональных данных учреждением образования соответствующего уровня.

2.2. Учреждение образования осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.

2.3. Учреждение образования вправе предоставлять персональные данные третьим лицам только при наличии оснований, предусмотренных законодательными актами.

3. Уполномоченные лица[2]. Трансграничная передача персональных данных

3.1. Учреждение образования поручает обработку персональных данных уполномоченным лицам. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению учреждения образования, содержится в приложении 2 к настоящей Политике.

Справочно.

В случае если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в Политике рекомендуется указывать:

наименование и местонахождение уполномоченного лица (уполномоченных лиц) или категории уполномоченных лиц;

основания обработки персональных данных уполномоченным лицом (наличие договора, акта законодательства либо решения государственного органа);

перечень персональных данных, обработка которых поручена уполномоченному лицу (уполномоченным лицам);

перечень действий с персональными данными, осуществляемых уполномоченным лицом (уполномоченными лицами).

На основании подпункта 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2028 г. № 422 “О мерах по совершенствованию защиты персональных данных” операторы, являющиеся государственными органами, юридическими лицами Республики Беларусь, иными организациями, устанавливают и поддерживают в актуальном состоянии перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами.

          Анализ складывающейся практики показывает, что для учреждений общего среднего образования такими уполномоченными лицами выступают ОАО ”Белинвестбанк“ (для целей изготовления билета учащегося в г. Минске), организации, предоставляющие услуги хостинга при ведении официального интернет-сайта учреждения образования, организации, предоставляющие сервисы для ведения электронных журналов и дневников учащихся (например, ООО «Образовательные системы» (информационный ресурс schools.by), ООО «ЭдуТехСолюшн» (информационный ресурс Знай.бай), организации, предоставляющие сопутствующие услуги при организации школьного питания (например, СООО «АЙ ПЭЙ», ООО «ЭдуТехСолюшн» и др.)и другие.

          В случае отсутствия у учреждения образования уполномоченных лиц, указанный раздел следует исключить из настоящей политики. Такая ситуация, например, может наблюдаться у отдельных учреждений дошкольного образования.

3.2. Учреждение образования осуществляет трансграничную передачу персональных данных для обеспечения непрерывной коммуникации с пользователями социальных сетей и мессенджеров (Вконтакте, Instagram, TikTok, Теlegram, видеохостинг YouTube).

Справочно.

Обращаем внимание, что ведение аккаунтов в социальных сетях и мессенджерах сопряжено с трансграничной передачей персональных данных субъектов (работников, обучающихся, иных лиц).

В соответствии с пунктом 12 Рекомендаций по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, при осуществлении трансграничной передачи персональных данных в Политике отражаются применительно к каждой цели передачи персональных данных:

субъекты (категории субъектов) в иностранных государствах, которым персональные данные могут быть переданы;

страны, на территории которых находятся такие субъекты (категории субъектов);

основания для трансграничной передачи.

В качестве оснований для трансграничной передачи персональных данных могут быть указаны:

основания, предусмотренные пунктом 3 статьи 4, статьей 6, пунктом 2 статьи 8 Закона (в случае передачи персональных данных в иностранные государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных);

основания, предусмотренные пунктом 1 статьи 9 Закона (в случае передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).

Кроме того, в Политике указывается, отнесены ли страны, в которые планируется осуществлять трансграничную передачу персональных данных, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

Перечень стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14.

     4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право:

4.1.1. на получение информации, касающейся обработки своих персональных данных учреждением образования, содержащей:

• сведения о наименовании и месте нахождения учреждения образования;
• подтверждение факта обработки персональных данных субъекта персональных данных в учреждении образования;
• его персональные данные и источник их получения;
• правовые основания и цели обработки персональных данных;
• срок, на который дано согласие;
• наименование и место нахождения уполномоченных лиц, если обработка персональных данных поручена таким лицам;
• иную информацию, предусмотренную законодательством;

4.1.2. на получение от учреждения образования информации о предоставлении своих персональных данных, обрабатываемых в учреждении образования, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

4.1.3. на обжалование действий (бездействия) и решений учреждения образования, нарушающих его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь.

4.2. Для реализации своих прав субъект персональных данных подает в учреждение образования заявление в письменной форме (почтой/нарочно) или в виде электронного документа, а в случае реализации права на отзыв согласия – в форме, в которой оно было получено.

Такое заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

4.3. Учреждение образования не рассматривает заявления субъектов персональных данных, не соответствующие требованиям пункта 5.2 настоящей Политики, в том числе направленные иными способами (e-mail, телефон, факс и т.п.).

4.4. За содействием в реализации прав, связанных с обработкой персональных данных в учреждении образования, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в учреждении образования, по телефону: (44)46-28-322.

Приложение 1

Цели, объем, правовые основания и сроки обработки персональных данных учреждением образования

Приложение 2

Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению учреждения образования

https://disk.yandex.by/i/TETtme8UmKtK1g

Права субъектов

Основные права субъекта персональных данных

Субъекты персональных данных в соответствии с  Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) наделены широким кругом прав. Права субъекта персональных данных являются действенным инструментом контроля за обработкой принадлежащих ему персональных данных.

Соответствующие права принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).

Основные права субъектов персональных данных закреплены в Законе. К ним относятся:

право на отзыв согласия;

право на получение информации, касающейся обработки персональных данных;

право требовать внесения изменений в персональные данные;

право на получение информации о предоставлении персональных данных третьим лицам;

право требовать прекращения обработки персональных данных и (или) их удаления;

право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;

право на возмещение морального вреда.

Реализация прав субъекта персональных данных

Права субъекта персональных данных реализуются путем подачи заявления оператору. В случае направления заявления субъекта персональных данных для реализации своих прав уполномоченному лицу, последний не обязан отвечать на данный запрос. Вместе с тем, ответ уполномоченным лицом на заявление субъекта персональных данных не будет противоречить законодательству о персональных данных.

Порядок подачи заявления субъектом персональных данных оператору установлен в статье 14 Закона.

Для реализации прав, предусмотренных статьями 10 – 13 Закона, субъекту персональных данных необходимо подать оператору заявление в письменной форме либо в виде электронного документа.

Заявление субъекта персональных данных должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

Срок ответа на заявление зависит от реализуемого субъектом персональных данных права (часть первая пункта 2 статьи 10, пункт 2, часть вторая пункта 4 статьи 11, пункт 2 статьи 12, часть первая пункта 2 статьи 13 Закона):

Подача жалобы

Субъекты персональных данных, полагающие, что их права, свободы и законные интересы нарушены при обработке персональных данных, вправе направить в Национальный центр защиты персональных данных жалобу по вопросам обработки персональных данных.

Рассмотрение таких жалоб осуществляется в соответствии с Положением о Национальном центре защиты персональных данных, утвержденным Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных».

Соответствующие права принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).

Жалоба может быть направлена на действия (бездействие), которые непосредственно затрагивают права, свободы и законные интересы субъекта персональных данных, подающего жалобу, в течение трех месяцев со дня, когда о них стало известно лицу, направившему жалобу.

Жалобы могут быть поданы в письменной форме или в виде электронного документа.

Жалобы субъектов персональных данных, поданные через рубрику «Электронное обращение», не подлежат рассмотрению.

СПОСОБЫ ПОДАЧИ ЖАЛОБ

Письменные жалобы подаются нарочным (курьером) или направляются по почте на адрес: Брестская область, Лунинецкий район, 225687, г. Микашевичи, ул. Первомайская 10б

Жалобы в виде электронного документа направляются на адрес электронной почты: sad1m@luninec.edu.by

ТРЕБОВАНИЯ, ПРЕДЪЯВЛЯЕМЫЕ К ЖАЛОБАМ

Жалобы излагаются на белорусском или русском языке.

В жалобе необходимо указать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• изложение сути жалобы с указанием действий (бездействия), которыми нарушаются права, свободы и законные интересы субъекта персональных данных;
• информацию о принятых мерах по восстановлению нарушенных прав, свобод и законных интересов субъекта персональных данных (в том числе обращение к оператору (уполномоченному лицу), в суд, органы прокуратуры или иные государственные органы) или об отсутствии таких мер.

В жалобе необходимо указать личную подпись субъекта персональных данных в случае направления жалобы в письменной форме.

К жалобе прилагаются документы и иные материалы (в том числе фотографии, графические изображения экрана (скриншоты)), подтверждающие нарушение прав, свобод и законных интересов субъекта персональных данных, подающего такую жалобу (при их наличии).

Жалоба в виде электронного документа должна быть удостоверена электронной цифровой подписью, выработанной с использованием личного ключа, сертификат открытого ключа которого издан в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.

СРОК И ПОРЯДОК РАССМОТРЕНИЯ ЖАЛОБ

Жалобы рассматриваются не позднее одного месяца со дня, следующего за днем их регистрации в Национальном центре защиты персональных данных.

Если жалоба требует дополнительного изучения и проверки, указанный срок может быть продлен Национальным центром защиты персональных данных не более чем на один месяц с уведомлением об этом субъекта персональных данных, подавшего такую жалобу.

Жалоба оставляется без рассмотрения по существу, если:

• не соответствует требованиям, предъявляемым к ее содержанию и способу подачи;
• рассмотрена, рассматривается или подлежит рассмотрению в соответствии с законодательством о конституционном судопроизводстве, гражданским процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса, либо если в соответствии с законодательными актами установлен иной порядок подачи и рассмотрения такой жалобы.

Решение об оставлении жалобы без рассмотрения по существу принимается в течение 10 рабочих дней со дня, следующего за днем ее регистрации, с уведомлением об этом субъекта персональных данных, подавшего такую жалобу, и указанием причин принятого решения.

Если содержащиеся в жалобе сведения о нарушениях при обработке персональных данных подтверждаются, Национальный центр защиты персональных данных принимает необходимые меры по защите нарушенных прав, свобод и законных интересов субъекта персональных данных, подавшего жалобу, и уведомляет его об этом.

Если содержащиеся в жалобе сведения о нарушениях при обработке персональных данных не подтверждаются, Национальный центр защиты персональных данных оставляет такую жалобу без удовлетворения и информирует об этом субъекта персональных данных, подавшего жалобу, с разъяснением порядка обжалования такого решения.

В случае поступления повторных жалоб, не содержащих новых обстоятельств, имеющих значение для их рассмотрения по существу, по таким жалобам с соответствующим субъектом персональных данных прекращается переписка с уведомлением его об этом. При поступлении повторных жалоб по вопросам, по которым с субъектом персональных данных прекращена переписка, такие жалобы рассмотрению не подлежат (без уведомления субъекта персональных данных).

ПОРЯДОК ОБЖАЛОВАНИЯ РЕЗУЛЬТАТОВ РАССМОТРЕНИЯ ЖАЛОБЫ

Принятые по результатам рассмотрения жалоб решения Национального центра защиты персональных данных могут быть обжалованы в судебном порядке.

Согласие на обработку персональных данных

Согласие является одним из ключевых правовых оснований обработки, отражающим принадлежность персональных данных гражданину и возможность распоряжаться ими по своему усмотрению.

Для обеспечения юридически действительного характера согласия такое согласие должно быть:

свободным;

однозначным;

информированным (статья 5 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).

Наиболее распространенные вопросы о согласии:

Всегда ли требуется согласие на обработку персональных данных?

Согласие является одним из правовых оснований для обработки персональных данных. При этом все правовые основания, включая согласие, имеют равную силу.

Случаи (правовые основания), когда для обработки ваших персональных данных согласие не требуется, перечислены в статьях 6 и 8 Закона. При наличии хотя бы одного из этих правовых оснований обработка персональных данных будет осуществляться без согласия субъекта персональных данных.

Например, согласие на обработку персональных данных не потребуется в случаях, когда их обработка является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.

Так, согласно Закону Республики Беларусь от 18 июля 2011 г. № 300-З «Об обращениях граждан и юридических лиц» организации, индивидуальные предприниматели обязаны, в частности, принимать меры для полного, объективного, всестороннего и своевременного рассмотрения обращений. В письменных ответах на жалобы в отношении действий (бездействия) организаций, индивидуальных предпринимателей и их работников должны содержаться анализ и оценка указанных действий (бездействия), информация о принятых мерах в случае признания жалоб обоснованными.

Согласие на обработку персональных при выполнении указанных обязанностей не требуется.

В какой форме можно дать согласие на обработку персональных данных?

Вы можете дать согласие на обработку персональных данных в письменной форме, в виде электронного документа (подписанного электронной цифровой подписью) или в иной электронной форме.

Согласие в виде электронного документа должно быть удостоверено электронной цифровой подписью, выработанной с использованием личного ключа, сертификат открытого ключа которого издан в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.

Можно ли отозвать согласие на обработку персональных данных и каковы последствия его отзыва?

Вы вправе в любое время без объяснения причин отозвать свое согласие, подав оператору заявление.

Такое заявление может быть подано в письменной форме или в форме электронного документа и должно содержать:

• ваши фамилию, собственное имя, отчество (если таковое имеется), адрес места
• жительства (места пребывания);
• дату рождения;
• идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась вами при даче своего согласия оператору;
• изложение сути ваших требований;
• вашу личную подпись либо электронную цифровую подпись.

Если согласие было получено в иной электронной форме, то оператор обязан предоставить возможность для отзыва согласия в такой же форме (например, посредством проставления соответствующей отметки на интернет-ресурсе).

Оператор обязан в пятнадцатидневный срок после получения вашего заявления в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить вас об этом, если отсутствуют иные правовые основания для таких действий с вашими персональными данными.

При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить вас об этом в тот же срок.

Требуется ли согласие на обработку персональных данных при заключении гражданско-правового договора?

При получении персональных данных оператором на основании договора, заключенного (заключаемого) с вами, в целях совершения действий, установленных таким договором, ваше согласие на обработку персональных данных не требуется. Данное правовое основание предусмотрено абзацем пятнадцатым статьи 6 Закона.

Например, вы заключаете с организацией гражданско-правовой договор на перевозку мебели, в котором указываете свои персональные данные. Дополнительное оформление согласия на обработку ваших персональных данных не требуется, поскольку имеется иное правовое основание для их обработки без согласия субъекта персональных данных, предусмотренное абзацем пятнадцатым статьи 6 Закона.  

Если обработка персональных данных осуществляется на основании заключенного гражданско-правового договора, можно ли подать заявление с требованием о прекращении обработки персональных данных?

Право на отзыв согласия субъекта персональных данных может быть реализовано только в том случае, когда правовым основанием обработки персональных данных выступает согласие субъекта персональных данных.

Обработка персональных данных в целях совершения действий, установленных в договоре, который заключен между вами и оператором, осуществляется без вашего согласия. В этой связи правовые основания требовать прекращения обработки ваших персональных данных отсутствуют.

Согласие законного представителя на обработку персональных данных несовершеннолетнего

_____________________________________________________________

(фамилия, собственное имя, отчество (если таковое имеется) законного представителя несовершеннолетнего)

В соответствии со статьей 5 Закона Республики Беларусь от 7 мая 2021 г. №  99-З ”О защите персональных данных“ даю согласие ________

Государственному учреждению образования «Детский сад №1 г.Микашевичи»

(наименование и место нахождения оператора)

на обработку персональных данных моего несовершеннолетнего ребенка

______________________________________________________________

(фамилия, собственное имя, отчество (если таковое имеется), дата рождения)

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных:

Сбор, использование, распространение информации об обучающемся в рамках новостного контента учреждения образования в сети Интернет.

В случаях размещения информации в социальных сетях и мессенджерах учреждения образования осуществляется трансграничная передача персональных данных обучающегося.

Информация об уполномоченных лицах:

________________________________________________________________

(в случае, если обработка персональных данных осуществляется такими лицами)

Срок согласия: на период обучения в учреждении образования

(срок, на который предоставляется согласие)

Мне разъяснены права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи мною согласия или отказа в даче такого согласия.

__________________                                                                               __________________

       (дата)                                                                                                         (подпись)

Согласие на обработку персональных данных работника учреждения образования

Я, __________________________________________________________________________________

(фамилия, собственное имя, отчество (если таковое имеется) работника)

__________________________________________________________________________________

(дата рождения)

В соответствии со статьей 5 Закона Республики Беларусь от 7 мая 2021 г. №  99-З "О защите персональных данных" даю согласие ____________

Государственному учреждению образования «Детский сад №1 г.Микашевичи»

(наименование и место нахождения оператора)

на обработку моих персональных данных:

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных:

Сбор, использование, распространение информации в рамках новостного контента учреждения образования в сети Интернет.

В случаях размещения информации в социальных сетях и мессенджерах учреждения образования осуществляется трансграничная передача персональных данных.

Срок согласия: на период работы в учреждении образования

(срок, на который предоставляется согласие)

Мне разъяснены права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи мною согласия или отказа в даче такого согласия.

__________________                                                                               __________________

       (дата)                                                                                                         (подпись)