Политика в отношении обработки персональных данных

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика в отношении обработки персональных данных в государственном учреждении, обеспечивающем функционирование системы образования «Ресурсный центр информационных технологий г. Бреста» (далее, если не указано иное – ГУОФСО «РЦИТ г. Бреста») определяет основные принципы, цели обработки персональных данных, основные используемые термины и определения, основные функции лица, ответственного за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных, права субъектов персональных данных, меры, принимаемые для обеспечения защиты персональных данных.
2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов в области персональных данных.
3. Для целей настоящей политики используются термины и их определения в значениях, установленных Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон № 99-З).

ГЛАВА 2

ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. ГУОФСО «РЦИТ г. Бреста», являясь оператором,осуществляет обработку персональных данных граждан Республики Беларусь, иностранных граждан, лиц без гражданства, включая работников ГУОФСО «РЦИТ г. Бреста».
5. Персональные данные обрабатываются с целью выполнения задач и осуществления функций в соответствии с Законом Республики Беларусь от 4 января 25010 г. № 108-З «О местном управлении и самоуправлении в Республике Беларусь» и других актов законодательства. Настоящая политика направлена на обеспечение защиты прав и свобод граждан Республики Беларусь, иностранных граждан, лиц без гражданства, работников ГУОФСО «РЦИТ г. Бреста», в том числе защиты прав на неприкосновенность частной жизни, личную, семейную и служебную тайну.
6. Перечень персональных данных, обрабатываемых в ГУОФСО «РЦИТ г. Бреста», определяется в соответствии с законодательством с учетом целей обработки персональных данных, указанных в пункте 5 настоящей политики.

ГЛАВА 3

ФУНКЦИИ ГУОФСО «РЦИТ Г. БРЕСТА» ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7. ГУОФСО «РЦИТ г. Бреста» при осуществлении обработки персональных данных принимает необходимые и достаточные меры (правовые, организационные и технические) для обеспечения выполнения требований законодательства и локальных правовых актов в области защиты персональных данных.
8. Обработка персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных с соблюдением принципов и целей, указанных в пунктах 4 – 6 настоящей политики, если иное не предусмотрено законодательством в области защиты персональных данных.
9. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации, при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы).
10. Ответственное лицо за осуществление внутреннего контроля за обработкой персональных данных (далее – ответственное лицо) осуществляет следующие функции:

принимает необходимые и достаточные меры для обеспечения выполнения требований законодательства и локальных правовых актов ГУОФСО «РЦИТ г. Бреста» в области персональных данных;

разрабатывает и поддерживает в актуальном состоянии документы, определяющие политику оператора в отношении обработки персональных данных;

рассматривает заявления, жалобы субъектов персональных данных по вопросам обработки персональных данных;

ведет реестр обработки персональных данных, систематизирующий обработку персональных данных;

проводит разъяснительную работу по вопросам применения законодательства о персональных данных.

ГЛАВА 4

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11. Права субъекта персональных данных являются действенным инструментом контроля за обработкой принадлежащих ему персональных данных.
12. Субъект персональных данных имеет следующие права:
    
    отзыв согласия субъекта персональных данных – 15-дневный срок после получения заявления;
    
    получение информации об обработке персональных данных – в течение 5 рабочих дней после получения заявления;
    
    внесение изменений в персональные данные – 15-дневный срок после получения заявления;
    получение информации о предоставлении персональных данных третьим лицам – 15-дневный срок после получения заявления;
    
    прекращение обработки персональных данных (их удаление) 15-дневный срок после получения заявления;
    
    обжалование действий (бездействий) и решений оператора, связанных с обработкой персональных данных.

13. Права, указанные в пункте 12 настоящей политики, принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).
14. Субъекты персональных данных, полагающие, что их права, свободы и законные интересы нарушены при обработке персональных данных, вправе направить в Национальный центр защиты персональных данных жалобу по вопросам обработки персональных данных.

Заявления могут быть поданы в письменной форме или в виде электронного документа, либо в форме, посредством которой получено согласие.

15. Меры для обеспечения выполнения ГУОФСО «РЦИТ г. Бреста» обязанностей оператора, предусмотренных законодательством в области персональных данных, включают:
    
    предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
    
    разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
    
    получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
    
    издание документов, определяющих политику ГУОФСО «РЦИТ г. Бреста» в отношении обработки персональных данных;
    
    ознакомление работников, непосредственно осуществляющих обработку персональных данных в ГУОФСО «РЦИТ г. Бреста», с положениями законодательства о персональных данных;
    
    прекращение обработки персональных данных при отсутствии оснований для их обработки;
    
    незамедлительное уведомление Национального центра защиты персональных данных по защите прав персональных данных с нарушением систем защиты персональных данных;
    
    осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

ГЛАВА 5

ОСУЩЕСТВЛЕНИЕ ТЕХНИЧЕСКОЙ И КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С КЛАССИФИКАЦИЕЙ ИНФОРМАЦИОННЫХ РЕСУРСОВ (СИСТЕМ), СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

16. В зависимости от вида персональных данных, содержащихся в информационным ресурсе (системе), в ГУОФСО «РЦИТ г. Бреста» определяется класс типовой информационной системы и, соответственно, требования к системе защиты информации, а также иные мероприятия по технической и криптографической защите персональных данных.
17. В соответствии с абзацем шестым пункта 3 статьи 17 Закона

№ 99-З обязательной мерой по обеспечению защиты персональных данных является осуществление технической и криптографической защиты персональных данных в порядке, установленном приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 195, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

ГЛАВА 6

ВЫЯВЛЕНИЕ И ФИКСАЦИЯ БИЗНЕС-ПРОЦЕССОВ, В КОТОРЫХ ИСПОЛЬЗУЮТСЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

18. С целью осуществления надлежащего контроля за обработкой персональных данных ответственное лицо осуществляет систематизацию и учет видов обработки персональных данных в ГУОФСО «РЦИТ г. Бреста». Для указанной цели используется реестр обработки персональных данных.
19. Доступ к сведениям, указанным в реестре, содержащим персональные данные, предоставляется работникам ГУОФСО «РЦИТ г. Бреста».

ГЛАВА 7

КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ГУОФСО «РЦИТ Г. БРЕСТА» В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

20. Контроль за соблюдением работниками ГУОФСО «РЦИТ г. Бреста» законодательства и локальных правовых актов в области персональных данных осуществляется с целью предотвращения и выявления нарушений, возможных каналов утечки и несанкционированного доступа к персональным данным, устранение последствий таких нарушений.
21. Внутренний контроль за соблюдением законодательства и локальных правовых актов ГУОФСО «РЦИТ г. Бреста» в области персональных данных, в том числе требований к защите персональных данных, осуществляется ответственным лицом.
22. Персональная ответственность за соблюдение требований законодательства и локальных правовых актов ГУОФСО «РЦИТ г. Бреста» в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на директора ГУОФСО «РЦИТ г. Бреста».