ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
- Политика в отношении обработки персональных данных в государственном учреждении, обеспечивающем функционирование системы образования «Ресурсный центр информационных технологий г. Бреста» (далее, если не указано иное – ГУОФСО «РЦИТ г. Бреста») определяет основные принципы, цели обработки персональных данных, основные используемые термины и определения, основные функции лица, ответственного за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных, права субъектов персональных данных, меры, принимаемые для обеспечения защиты персональных данных.
- Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов в области персональных данных.
- Для целей настоящей политики используются термины и их определения в значениях, установленных Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон № 99-З).
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
- ГУОФСО «РЦИТ г. Бреста», являясь оператором,осуществляет обработку персональных данных граждан Республики Беларусь, иностранных граждан, лиц без гражданства, включая работников ГУОФСО «РЦИТ г. Бреста».
- Персональные данные обрабатываются с целью выполнения задач и осуществления функций в соответствии с Законом Республики Беларусь от 4 января 25010 г. № 108-З «О местном управлении и самоуправлении в Республике Беларусь» и других актов законодательства. Настоящая политика направлена на обеспечение защиты прав и свобод граждан Республики Беларусь, иностранных граждан, лиц без гражданства, работников ГУОФСО «РЦИТ г. Бреста», в том числе защиты прав на неприкосновенность частной жизни, личную, семейную и служебную тайну.
- Перечень персональных данных, обрабатываемых в ГУОФСО «РЦИТ г. Бреста», определяется в соответствии с законодательством с учетом целей обработки персональных данных, указанных в пункте 5 настоящей политики.
ГЛАВА 3
ФУНКЦИИ ГУОФСО «РЦИТ Г. БРЕСТА» ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- ГУОФСО «РЦИТ г. Бреста» при осуществлении обработки персональных данных принимает необходимые и достаточные меры (правовые, организационные и технические) для обеспечения выполнения требований законодательства и локальных правовых актов в области защиты персональных данных.
- Обработка персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных с соблюдением принципов и целей, указанных в пунктах 4 – 6 настоящей политики, если иное не предусмотрено законодательством в области защиты персональных данных.
- Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации, при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы).
- Ответственное лицо за осуществление внутреннего контроля за обработкой персональных данных (далее – ответственное лицо) осуществляет следующие функции:
принимает необходимые и достаточные меры для обеспечения выполнения требований законодательства и локальных правовых актов ГУОФСО «РЦИТ г. Бреста» в области персональных данных;
разрабатывает и поддерживает в актуальном состоянии документы, определяющие политику оператора в отношении обработки персональных данных;
рассматривает заявления, жалобы субъектов персональных данных по вопросам обработки персональных данных;
ведет реестр обработки персональных данных, систематизирующий обработку персональных данных;
проводит разъяснительную работу по вопросам применения законодательства о персональных данных.
ГЛАВА 4
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Права субъекта персональных данных являются действенным инструментом контроля за обработкой принадлежащих ему персональных данных.
- Субъект персональных данных имеет следующие права:
отзыв согласия субъекта персональных данных – 15-дневный срок после получения заявления;
получение информации об обработке персональных данных – в течение 5 рабочих дней после получения заявления;
внесение изменений в персональные данные – 15-дневный срок после получения заявления;
получение информации о предоставлении персональных данных третьим лицам – 15-дневный срок после получения заявления;
прекращение обработки персональных данных (их удаление) 15-дневный срок после получения заявления;
обжалование действий (бездействий) и решений оператора, связанных с обработкой персональных данных.
- Права, указанные в пункте 12 настоящей политики, принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).
- Субъекты персональных данных, полагающие, что их права, свободы и законные интересы нарушены при обработке персональных данных, вправе направить в Национальный центр защиты персональных данных жалобу по вопросам обработки персональных данных.
Заявления могут быть поданы в письменной форме или в виде электронного документа, либо в форме, посредством которой получено согласие.
- Меры для обеспечения выполнения ГУОФСО «РЦИТ г. Бреста» обязанностей оператора, предусмотренных законодательством в области персональных данных, включают:
предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
издание документов, определяющих политику ГУОФСО «РЦИТ г. Бреста» в отношении обработки персональных данных;
ознакомление работников, непосредственно осуществляющих обработку персональных данных в ГУОФСО «РЦИТ г. Бреста», с положениями законодательства о персональных данных;
прекращение обработки персональных данных при отсутствии оснований для их обработки;
незамедлительное уведомление Национального центра защиты персональных данных по защите прав персональных данных с нарушением систем защиты персональных данных;
осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
ГЛАВА 5
ОСУЩЕСТВЛЕНИЕ ТЕХНИЧЕСКОЙ И КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С КЛАССИФИКАЦИЕЙ ИНФОРМАЦИОННЫХ РЕСУРСОВ (СИСТЕМ), СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
- В зависимости от вида персональных данных, содержащихся в информационным ресурсе (системе), в ГУОФСО «РЦИТ г. Бреста» определяется класс типовой информационной системы и, соответственно, требования к системе защиты информации, а также иные мероприятия по технической и криптографической защите персональных данных.
- В соответствии с абзацем шестым пункта 3 статьи 17 Закона
№ 99-З обязательной мерой по обеспечению защиты персональных данных является осуществление технической и криптографической защиты персональных данных в порядке, установленном приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 195, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
ГЛАВА 6
ВЫЯВЛЕНИЕ И ФИКСАЦИЯ БИЗНЕС-ПРОЦЕССОВ, В КОТОРЫХ ИСПОЛЬЗУЮТСЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
- С целью осуществления надлежащего контроля за обработкой персональных данных ответственное лицо осуществляет систематизацию и учет видов обработки персональных данных в ГУОФСО «РЦИТ г. Бреста». Для указанной цели используется реестр обработки персональных данных.
- Доступ к сведениям, указанным в реестре, содержащим персональные данные, предоставляется работникам ГУОФСО «РЦИТ г. Бреста».
ГЛАВА 7
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ГУОФСО «РЦИТ Г. БРЕСТА» В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Контроль за соблюдением работниками ГУОФСО «РЦИТ г. Бреста» законодательства и локальных правовых актов в области персональных данных осуществляется с целью предотвращения и выявления нарушений, возможных каналов утечки и несанкционированного доступа к персональным данным, устранение последствий таких нарушений.
- Внутренний контроль за соблюдением законодательства и локальных правовых актов ГУОФСО «РЦИТ г. Бреста» в области персональных данных, в том числе требований к защите персональных данных, осуществляется ответственным лицом.
- Персональная ответственность за соблюдение требований законодательства и локальных правовых актов ГУОФСО «РЦИТ г. Бреста» в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается на директора ГУОФСО «РЦИТ г. Бреста».