ПОЛОЖЕНИЕ о порядке обработки и защите персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. ПОЛОЖЕНИЕ о порядке обработки и защите персональных данных в учреждении образования «Минский государственный колледж ремесленничества и дизайна имени Н.А. Кедышко» (далее — Положение) определяет основные принципы, цели, условия и способы обработки персональных данных, перечень субъектов персональных данных, обрабатываемых в учреждении образования «Минский государственный колледж ремесленничества и дизайна имени Н.А. Кедышко» (далее - колледж), функции колледжа при обработке персональных данных, права субъектов персональных данных, а также реализуемые в колледже требования к защите персональных данных.
2. Положение разработано с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов в области персональных данных.
3. Положение служит основой для разработки локальных правовых актов, регламентирующих в колледже вопросы обработки персональных данных работников, обучающихся колледжа и других субъектов персональных данных.
4. Положение обработки персональных данных в колледже определяется в соответствии со следующими нормативными правовыми актами:
Конституция Республики Беларусь;
Трудовой кодекс Республики Беларусь;
Закон Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных»;
Закон Республики Беларусь от 21 июля 2008 г № 418-З «О регистре населения»;
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;
Указ Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»;
иные нормативные правовые акты и нормативные документы уполномоченных органов государственной власти.
5. Для целей настоящего Положения используются определения, содержащиеся в Законе Республики Беларусь от 07 мая 2021 г. № 99-З «О защите персональных данных».
6. Актуальная редакция Положения размещена в свободном доступе на сайте колледжа.
7. Колледж, являясь оператором персональных данных, осуществляет обработку персональных данных работников колледжа, обучающихся и других субъектов персональных данных.
Местонахождение оператора: 220013, Республика Беларусь, город Минск, улица Сурганова, дом 45, корпус 1.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8. Обработка персональных данных в колледже осуществляется с учетом необходимости обеспечения защиты прав и свобод работников колледжа, обучающихся и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
законность и справедливость;
соразмерность заявленным целям обработки персональных данных,
обеспечение на всех этапах такой обработки справедливого соотношения интересов всех заинтересованных лиц;
согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей.
Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
соответствия содержания и объема обрабатываемых персональных данных заявленным целям их обработки.
Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
прозрачность обработки персональных данных.
Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
обеспечение достоверности обрабатываемых персональных данных;
хранение персональных данных не дольше, чем этого требуют заявленные цели обработки персональных данных.
9. Цели обработки персональных данных:
осуществление функций, полномочий и обязанностей, возложенных законодательством на колледж, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
обработка информации (резюме) кандидата на трудоустройство, в том числе проверка соответствия кандидатур на занятие определенным видом деятельности (охранная, преподавательская);
обработка персональных данных работников колледжа в процессе трудовой деятельности (контроль количества и качества выполняемой работы, обеспечение сохранности имущества и др.);
проведение профориентационной работы с молодежью, прием документов, проведение конкурсного отбора и принятие решения о зачислении абитуриентов в число учащихся колледжа;
регулирование образовательных отношений с обучающимися в колледже (текущая, итоговая аттестация, воспитательная, иная работа, проводимая с обучающимися, направленная на реализацию прав граждан на образование);
защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
подготовка, заключение, исполнение и прекращение договоров, заключаемых колледжем;
идентификация зарегистрированного Пользователя на сайте колледжа;
направление субъекту персональных данных уведомлений, рассылок информационного характера, связанных с уставной деятельностью колледжа;
обеспечения пропускного и внутриобъектового режимов на объектах колледжа;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
осуществление административных процедур;
рассмотрение обращений.
ГЛАВА 3
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ
ОБРАБАТЫВАЮТСЯ В КОЛЛЕДЖЕ
10. В колледже обрабатываются персональные данные следующих категорий субъектов:
абитуриентов (учащихся) колледжа и их законных представителей;
обучающихся в колледже и лиц, отчисленных из колледжа, в том числе в связи с окончанием обучения;
законных представителей обучающихся в колледже и лиц, отчисленных из колледжа;
кандидатов на занятие вакантных должностей;
работников колледжа, состоящих в трудовых отношениях с колледжем и прекративших трудовые отношения с колледжем, их близких родственников;
лиц, заключивших (прекративших) гражданско-правовые отношения с колледжем, их представителей;
представителей юридических лиц, с которыми заключает гражданско-правовые отношения;
лиц, в отношении которых производится регистрация по месту пребывания;
пользователей интернет-сайта колледжа;
лиц, подавших обращения;
лиц, обратившихся за осуществлением административных процедур;
других субъектов персональных данных.
11. В соответствии с целями, указанными в пункте 9 Положения лицами, ответственными за обработку персональных данных, разрабатываются Перечни подлежащих обработке персональных данных по направлению деятельности, с указанием цели обработки, порядка и сроков хранения персональных данных.
Перечни являются неотъемлемой частью настоящего Положения.
ГЛАВА 4
ФУНКЦИИ КОЛЛЕДЖА ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
12. Колледж при осуществлении обработки персональных данных:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства и локальных правовых актов колледжа в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий
в отношении персональных данных;
назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в колледже;
осуществляет ознакомление работников колледжа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и локальных правовых актов колледжа в области персональных данных в том числе требованиями к защите персональных данных, и обучение указанных работников;
публикует или иным образом обеспечивает неограниченный доступ к настоящему Положению;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством в области персональных данных;
совершает иные действия, предусмотренные законодательством области персональных данных.
ГЛАВА 5
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОЛЛЕДЖЕ
13. Обработка персональных данных в колледже осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
14. Колледж без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
15. Лицом, ответственным за осуществление внутреннего контроля за обработку персональных данных в колледже, является инженер-программист.
16. Обработка персональных данных осуществляется лицами, назначенными приказом директора колледжа.
17. Сведения о лицах, указанных в пункте 16 настоящего Положения, содержатся в Перечнях, подлежащих обработке персональных данных (пункт 11 Положения).
ГЛАВА 6
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
И СПОСОБЫ ИХ ОБРАБОТКИ
18. Колледж осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
19. Обработка персональных данных в колледже осуществляется следующими способами:
с использованием средств автоматизации;
без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое);
смешанным способом.
ГЛАВА 7
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОТВЕТСТВЕННОСТЬ
20. Субъекты персональных данных имеют право на:
отзыв согласия субъекта персональных данных;
получение информации, касающейся обработки персональных данных, и изменение персональных данных;
требование прекращения обработки персональных данных и (или) их удаления;
обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
21. Субъекты персональных данных обязаны предоставлять колледжу достоверные данные о себе.
22. Лицо, предоставившее колледжу неполные, устаревшие, недостоверные данные о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством.
ГЛАВА 8
МЕРЫ, ПРИНИМАЕМЫЕ КОЛЛЕДЖЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
23. Меры, необходимые и достаточные для обеспечения выполнения колледжем обязанностей оператора, предусмотренных законодательством в области персональных данных, включают:
предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в колледже;
издание документов, определяющих политику колледжа в отношении обработки персональных данных;
обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику колледжа в отношении обработки персональных данных, до начала такой обработки;
ознакомление работников, непосредственно осуществляющих обработку персональных данных в колледже, с положениями законодательства и локальных правовых актов колледжа о персональных данных;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных в колледже мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
осуществление технической защиты персональных данных в колледже в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
прекращение обработки персональных данных при отсутствии оснований для их обработки;
осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных.
24. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами колледжа, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных колледжа.
ГЛАВА 9
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ
ПРАВОВЫХ АКТОВ КОЛЛЕДЖА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
25. Внутренний контроль за соблюдением структурными подразделениями колледжа законодательства Республики Беларусь и локальных правовых актов колледжа в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в колледже.
26. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов колледжа в области персональных данных в структурных подразделениях и службах колледжа, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях (службах) возлагается на их руководителей.
ГЛАВА 10
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
27. Настоящее Положение вступает в силу со дня ее утверждения.
28. Колледж имеет право изменять настоящее Положение в одностороннем порядке без предварительного согласования с субъектами персональных данных.
Изменения и дополнения в Положение доводятся до сведения субъектов персональных данных до вступления в силу таких изменений, дополнений путем размещения на сайте колледжа.
29. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящем Положении, регулируются законодательством.
В случае, если какое-либо положение признается противоречащим законодательству, остальные положения, соответствующие законодательству, остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным/измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству.