Защита персональных данных

Документы по защите персональных данных:

перечень для учреждений дошкольного образования

Учреждение дошкольного образования, являясь самостоятельным оператором, осуществляющим обработку персональных данных, обязано выполнять предписания Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Рассмотрим более подробно, какая документация должна быть в учреждении дошкольного образования в соответствии с Законом.

Закон не содержит исчерпывающего перечня мер, принятие которых будет свидетельствовать о соблюдении оператором обязанности по обеспечению защиты персональных данных. В Законе реализован риск-ориентированный подход, поэтому в зависимости от сферы деятельности оператора, объема обрабатываемых персональных данных, способов обработки, категорий персональных данных, потенциальных рисков, связанных с обработкой персональных данных, иных обстоятельств оператор (уполномоченное лицо) самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных. При этом в ст. 17 Закона прописан комплекс мер по обеспечению защиты персональных данных, которые каждый оператор (уполномоченное лицо) обязан принимать в своей организации.

***

Таким образом, обработка персональных данных в сфере дошкольного образования может осуществляться на различных правовых основаниях, при этом согласие субъекта персональных данных в большинстве случаев не требуется.

Вместе с тем даже наличие и правильный выбор правовых оснований обработки персональных данных не исключают возможных нарушений Закона. Обращаем внимание, что в соответствии с п. 5 ст. 4 Закона обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. К сожалению, приходится констатировать, что в учреждениях образования встречается избыточная обработка персональных данных, когда учреждения собирают информацию на всякий случай, не задумываясь о реальной необходимости обработки подобной информации.

Для оказания учреждениям образования содействия в надлежащей реализации законодательства о персональных данных Центром подготовлена информация о применении Закона в сфере образования, в которой детально освещены вопросы, связанные с обработкой персональных данных в учреждениях образования, включая правовые основания такой обработки, общие требования к обработке персональных данных, организацию работы по реализации Закона. Указанная информация доступна для скачивания на сайте Центра (короткая ссылка — clck.ru/yG6eZ).

Источник: журнал РУКОВОДИТЕЛЬ учреждения дошкольного образования

Автор:

Швед Надежда

заместитель начальника управления методологии защиты персональных данных Национального центра защиты персональных данных Республики Беларусь, кандидат юридических наук, доцент.

Политика видеонаблюдения

1. Настоящее Положение разработано в соответствии с Положением о видеонаблюдении, утвержденным приказом директора Национального центра защиты персональных данных от 20 апреля 2022 г. № 31, с целью разъяснения субъектам персональных данных целей обработки их изображений, попавших на камеру(ы) видеонаблюдения Национального центра защиты персональных данных и отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.

2. В Национальном центре защиты персональных данных видеонаблюдение:

  • осуществляется в соответствии с абзацем двадцатым статьи 6 и пункта 1 статьи 17 Закона Республики Беларусь от 7 мая 2021 г. № 99‑З ”О защите персональных данных“ (далее – Закон) для защиты обрабатываемых персональных данных, информации, содержащей охраняемую законом тайну, сведений, составляющие государственные секреты, а также контроля доступа посетителей в Национальный центр защиты персональных данных;
  • ведется круглосуточно и непрерывно при помощи камер открытого видеонаблюдения;

не используется для:

  • учета фактически отработанного работниками Национального центра защиты персональных данных рабочего времени;
  • уникальной идентификации лиц, изображенных на видеозаписи;
  • записи звука.

3. Камеры видеонаблюдения устанавливаются в открытых для общего доступа местах в следующих зонах:

  • главный вход с направлением видеонаблюдения со стороны лифта и со стороны холла;
  • коридор с направлением видеонаблюдения на эвакуационные выходы.

В иных помещениях Национального центра защиты персональных данных, в том числе предназначенных для личных нужд работников, видеонаблюдение не ведется.

4. Срок хранения видеозаписей составляет 30 дней, по истечении которого происходит их автоматическое удаление.
Если получена информация о возможной фиксации камерами видеонаблюдения ситуации, имеющей признаки совершения дисциплинарного проступка, административного правонарушения, уголовного преступления, по устному поручению директора Национального центра защиты персональных данных (лица, исполняющего его обязанности) для таких видеозаписей срок хранения может быть продлен на период проведения соответствующих мероприятий.

5. Видеозаписи не могут быть использованы работниками в личных и иных целях, не связанных с профессиональной деятельностью, и не подлежат изменению, использованию, распространению и предоставлению, кроме случаев, предусмотренных законодательными актами.

6. Субъект персональных данных имеет право:
6.1. на получение информации, касающейся обработки своих персональных данных в Национальном центре защиты персональных данных, содержащей:

  • сведения о местонахождении Национального центра защиты персональных данных;
  • подтверждение факта обработки персональных данных обратившегося лица в Национальном центре защиты персональных данных;
  • его персональные данные и источник их получения;
  • правовые основания и цели обработки персональных данных;
  • иную информацию, предусмотренную законодательством;

6.2. на получение от Национального центра защиты персональных данных информации о предоставлении своих персональных данных, обрабатываемых в Национальном центре защиты персональных данных, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

6.3. на обжалование действий (бездействия) и решений Национального центра защиты персональных данных, нарушающих его права при обработке персональных данных, в суд в порядке, установленном гражданским процессуальным законодательством.

7. Для реализации своих прав, связанных с обработкой изображения субъекта персональных данных, зафиксированного камерами видеонаблюдения, расположенными в помещениях Национального центра защиты персональных данных, субъект персональных данных подает в Национальный центр защиты персональных данных заявление в письменной форме или в виде электронного документа по адресу в сети Интернет.
Такое заявление должно содержать:

  • фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
  • дату рождения субъекта персональных данных;
  • изложение сути требований субъекта персональных данных;
  • личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

В связи с тем, что в Национальном центре защиты персональных данных видеонаблюдение не используется для уникальной идентификации лиц, изображенных на видеозаписи, а срок хранения видеозаписей составляет 30 дней, если иное не определено в части второй пункта 4 настоящего Положения, изложение сути требований субъекта персональных данных должно содержать дату и период времени записи изображения субъекта персональных данных. Период времени определяется в пределах часового интервала.

8. Национальный центр защиты персональных данных не рассматривает заявления субъектов персональных данных, которые не соответствуют требованиям пункта 7 настоящего Положения, в том числе направленные иными способами (e-mail, телефон, факс и т.п.).

9. За содействием в реализации прав, связанных с обработкой персональных данных в Национальном центре защиты персональных данных, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Национальном центре защиты персональных данных, в том числе направив сообщение на адрес электронной почты: dpo@cpd.by.

свернуть

Закон Республики Беларусь от 7 мая 2021 г. № 99-3 "О защите персональных данных"

Права субъектов персональных данных

Субъект персональных данных — физическое лицо, персональные данные которого обрабатываются оператором.

Основные права субъекта закреплены в ст. 10‒13 и 15 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).

Право на отзыв согласия

Отзыв согласия — одно из прав субъекта, означающее прекращение права оператора обрабатывать персональные данные, если у него нет иных правовых оснований для обработки. Иными словами, отзыв согласия возможен только в том случае, если обработка персональных данных осуществлялась на основании согласия.

Право на получение информации, касающейся обработки персональных данных, и изменение персональных данных

Это одно из ключевых прав субъекта персональных данных. Оно означает, по сути, право субъекта на доступ к информации об обработке его персональных данных конкретным оператором в объеме, определенном законодателем и указанном в п. 1 ст. 11 Закона. При этом в п. 3 ст. 11 Закона установлены случаи, когда информация, касающаяся обработки персональных данных субъекта, не предоставляется.

Учреждение образования обязано предоставить субъекту в доступной форме информацию, касающуюся обработки персональных данных, либо уведомить его о причинах отказа в ее предоставлении.

Субъект вправе требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. Указанное право вытекает из принципа достоверности обработки персональных данных.

Право на получение информации о предоставлении своих персональных данных третьим лицам

Предоставление такой информации субъекту направлено на реализацию принципа прозрачности обработки персональных данных.

Данное право может быть реализовано один раз в календарный год, предоставление соответствующей информации осуществляется бесплатно.

Учреждение образования обязано в 15‑дневный срок после получения заявления субъекта предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта о причинах отказа в ее предоставлении. При этом указанию подлежат конкретные персональные данные, а также конкретные организации, которым такие данные предоставлялись.

Для реализации субъектом данного права учреждению образования необходимо обес­печить учет фактов передачи персональных данных третьим лицам.

Информация о предоставлении персональных данных третьим лицам может не предоставляться в случаях, предусмотренных п. 3 ст. 11 и п. 2 ст. 12 Закона.

Право требовать прекращения обработки персональных данных и (или) их удаления

Данное право может быть реализовано в отношении персональных данных, если:

  • они были незаконно получены;
  • истек установленный срок их хранения;
  • отсутствуют правовые основания для их обработки;
  • отдельные персональные данные не являются необходимыми для заявленной цели обработки.

Учреждение образования при отсутствии оснований для обработки персональных данных обязано в 15‑дневный срок после получения заявления субъекта обеспечить прекращение обработки персональных данных и их удаление уполномоченным лицом и уведомить об этом субъекта.

При отсутствии технической возможности удаления персональных данных учреждение образования обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта в тот же срок.

Пунктом 3 ст. 13 Закона установлено право оператора отказать субъекту в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. Например, если персональные данные субъекта необходимы оператору для выполнения требований о хранении документов, предусмотренных Законом Республики Беларусь от 25.11.2011 № 323-З «Об архивном деле и делопроизводстве в Республике Беларусь» и принятым в его развитие постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов Нацио­нального архивного фонда Республики Беларусь», то оператор не может прекратить обработку персональных данных и (или) удалить их по требованию субъекта, поскольку есть правовое основание для их обработки.

Указанное право субъекта может быть реализовано в порядке, предусмотренном ст. 14 Закона, по его заявлению. Корреспондирующей обязанностью оператора является рассмотрение заявления в 15‑дневный срок (пятидневный — для реализации права субъекта на получение информации, касающейся обработки персональных данных) и реализация указанного в нем права. В случае, если реализовать данное право не представляется возможным, оператор в этот же срок уведомляет субъекта об этом.

Право на обжалование действия (бездействия) и решения оператора в уполномоченный орган

Правом подачи жалобы обладает субъект, чьи права были нарушены учреждением образования. Органом по защите прав субъектов, уполномоченным на рассмотрение жалоб, является Национальный центр защиты персональных данных.

Право на возмещение морального вреда, причиненного вследствие нарушения прав субъекта

Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков.

Компенсация морального вреда осуществляется в соответствии с гражданским и гражданским процессуальным законодательством.

свернуть

Документы, разрабатываемые в учреждении дошкольного образования

Учреждение образования, являясь самостоятельным оператором, обязано выполнять предписания Закона. Остановимся более подробно на тех документах, касающихся защиты персональных данных, которые должны быть разработаны в учреждении образования.

1. Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных*.

Наряду с назначением ответственного лица необходимо разработать порядок осуществления внутреннего контроля за обработкой персональных данных, включающий периодичность и формат контрольных мероприятий, их оформление и порядок принятия решений по результатам таких мероприятий.

*    С рекомендациями о назначении структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, можно ознакомиться на сайте НЦЗПД.

2. Политика учреждения образования в отношении обработки персональных данных.

Цель издания данного документа заключается в информировании субъектов персональных данных об обработке персональных данных в учреждении.

Следует отметить, что это может быть один общий документ, определяющий политику учреждения образования в отношении обработки персональных данных, или несколько документов, определяющих порядок обработки персональных данных в определенных сферах или в связи с определенными процессами (например, в рамках обработки персональных данных на сайте, обработки персональных данных работников в процессе трудовой (служебной) деятельности и т. п.).

Это важно
Политика должна содержать общие положения, разъясняющие субъекту персональных данных, как и для каких целей персональные данные собираются, используются или иным образом обрабатываются, а также какие права имеются у субъекта в контексте этой обработки и каков механизм их реализации.

При написании политики важно обеспечить соотношение информации о целях, правовых основаниях обработки и круге обрабатываемых персональных данных, что позволит субъекту персональных данных уяснить, какие его персональные данные и для каких именно целей обрабатываются. В противном случае политика будет носить формальный характер и не иметь для субъекта практической пользы, поскольку не будет обеспечена реализация принципа прозрачности обработки персональных данных.

Это важно
Как показали проверки, проводимые НЦЗПД, многие забывают отразить в политике все процессы, в ходе которых обрабатываются персональные данные (например, забывают о видеонаблюдении в здании), а также не обеспечивают соотношение целей обработки, правовых оснований, категорий субъектов персональных данных, чьи данные подвергаются обработке, и перечня обрабатываемых персональных данных.

При подготовке политики многие операторы просто дублируют положения Закона, что также не отвечает принципу прозрачности обработки персональных данных, либо используют первую попавшуюся в Интернете политику без ее адаптации к собственным процессам, либо включают в политику положения, изложенные с учетом подходов российского законодательства.

Отмечается также несогласованность положений политики, а иногда даже прямое противоречие их друг другу. При формулировании целей обработки персональных данных в политике зачастую указывают слишком общие либо неконкретные цели обработки (например, обеспечение соблюдения законодательства, осуществление деятельности в соответствии с уставом). При определении сроков обработки персональных данных сроки либо вовсе не указываются, либо указываются неконкретные сроки («не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством», «согласие действует до момента отзыва этого согласия либо до момента, установленного законодательством»).

Это важно
В некоторых случаях в политике не указывается механизм реализации прав субъектов персональных данных, в т. ч. не указывается лицо, ответственное за осуществление внутреннего контроля, либо на субъектов персональных данных возлагаются обязанности, не предусмотренные Законом, что нарушает их права и законные интересы, создает для них сложности и непонимание механизма реализации своих прав.

Рекомендуется писать политику простым и понятным языком, избегая сложных оборотов и специфической профессиональной лексики.

Обращаем внимание, что рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, размещены в открытом доступе.

Необходимо помнить и о том, что учреждение образования обязано обеспечить неограниченный доступ к политике, в т. ч. с использованием Интернета, с учетом круга субъектов персональных данных, на которых она распространяется.

Это важно
Политика оператора в отношении «внешнего контура» (законных представителей несовершеннолетних, граждан, направляющих обращения, и т. п.) размещается на сайте оператора. При отсутствии у учреждения образования сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.

Политику учреждения образования в отношении обработки персональных данных работников (при ее наличии) нет необходимости размещать в открытом доступе для неограниченного круга лиц. В этом случае допустимо опубликовать соответствующий документ на корпоративном портале (при его наличии), а также разместить на информационных стендах.

3. Документ, определяющий порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе).

В законодательстве нет требований относительно того, что должен включать данный порядок. Полагаем, это зависит от самого учреждения образования, целей сбора персональных данный и от того, какие персональные данные будут обрабатываться.

Порядок доступа к персональным данным целесообразно закрепить в одном документе, но отдельные его положения могут быть детализированы в иных документах, в т. ч. положениях об информационных ресурсах (системах), о видеонаблюдении и др.

При разработке порядка доступа к персональным данным в нем следует отразить различия в предоставлении такого доступа к документам в информационных ресурсах и к документам в бумажном виде. Например, доступ к персональным данным, обрабатываемым в информационном ресурсе (системе), может быть ограничен посредством настроек программного обеспечения (установление разграничения доступа, паролей). А доступ к персональным данным, содержащимся в документах в бумажном виде, можно ограничить посредством организации мест для их хранения.

Отсутствие такого порядка может привести к тому, что доступ к персональным данным будут иметь работники, должностные обязанности которых не связаны с обработкой персональных данных (например, обслуживающий персонал), или иные лица (обучающиеся, родители, посетители учреждения образования).

В любом случае данный документ может включать следующую информацию:

  • перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных;
  • порядок доступа в помещения, где обрабатываются персональные данные, к электронным базам персональных данных, порядок выдачи логинов и паролей, перечень должностей учреждения образования, которым может быть дан доступ, а также цели выдачи такого доступа (например, при организации оплаты питания);
  • порядок прекращения доступа работников к обработке персональных данных и т. п.

4. Перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является учреждение образования, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы).

Операторы обязаны устанавливать и поддерживать в актуальном состоянии перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются (подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»).

К данным ресурсам (системам) следует относить, например, такие распространенные в учреждениях образования ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, кадрового учета, сайты учреждений, автоматизированные системы контроля и управления доступом, системы видеонаблюдения, системы электронного документооборота и т. п.

5. Перечень уполномоченных лиц (если для обработки персональных данных в учреждении образования привлекаются такие лица).

Данный перечень может быть установлен как в виде отдельного документа, так и в документах, определяющих политику оператора в отношении обработки персональных данных, реестре обработки персональных данных.

При этом учреждение образования при заключении договора с уполномоченным лицом должно руководствоваться ст. 7 Закона.

6. Формы согласия субъекта персональных данных.

Учреждение образования должно разработать и утвердить формы согласия субъекта персональных данных для обработки персональных данных, осуществляемой на основании согласия. Важно учитывать, что для разных целей обработки формы согласия могут отличаться (по кругу обрабатываемых персональных данных, сроку хранения, кругу уполномоченных лиц и т. п.).

С примерной формой согласия можно ознакомиться на сайте НЦЗПД.

7. Документ, устанавливающий порядок удаления (уничтожения) персональных данных.

Данный документ может быть оформлен как отдельный локальный правовой акт либо включен в локальный акт, определяющий порядок функционирования информационной системы (ресурса), политику информационной безопасности.

8. Документ, определяющий порядок учета предоставления персональных данных третьим лицам.

Целесообразно вести учет предоставления персональных данных третьим лицам (например, в журнале). При отсутствии такого учета будет затруднительно в полной мере выполнять обязанности оператора (например, реализовывать право субъекта персональных данных, предусмотренное ст. 12 Закона, на получение информации о предоставлении персональных данных третьим лицам).

свернуть

Политика государственного учреждения образования «Детский сад №4 аг.Лесной» в отношении обработки персональных данных

УТВЕРЖДЕНО

Приказ заведующего

государственным учреждения образования

«Детский сад № 4 аг. Лесной»

от 29.01.2024 № 26

 

Политика

государственного учреждения образования

«Детский сад № 4 аг. Лесной»

в отношении обработки персональных данных

 

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

  1. Политика государственного учреждения образования «Детский сад № 4 аг. Лесной» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) и определяет цели, принципы, условия и правила обработки персональных данных в государственном учреждении образования «Детский сад № 4 аг. Лесной» (далее – детский сад № 4 аг. Лесной), меры по обеспечению режима их защиты, права субъектов персональных данных.

 

ГЛАВА 2

ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Государственное учреждение образования «Детский сад № 4 аг. Лесной» является оператором, самостоятельно или совместно с другими лицами, организующим и (или) осуществляющим обработку персональных данных работников детского сада № 4 аг. Лесной и других субъектов персональных данных на основании пункта 3 статьи 4 и статьи 6 Закона в целях:

обработки информации о кандидате на трудоустройство;

обработки персональных данных в процессе трудовой деятельности;

обеспечения пропускного режима; (для учреждений с пропускным режимом)

осуществления административных процедур;

рассмотрения обращений;

ведения бухгалтерского и налогового учета – полномочия переданы в государственное учреждение государственное учреждение «Центр по обеспечению деятельности бюджетных организаций Минского района».

 

ГЛАВА 3

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Категории субъектов персональных данных, чьи данные подвергаются обработке в детском саду № 4 аг. Лесной:

работники детского сада № 4 аг. Лесной, в том числе уволенные, а также их родственники;

посетители детского сада № 4 аг. Лесной;

кандидаты на трудоустройство в детский сад № 4 аг. Лесной;

граждане, подавшие (подающие) обращение в детский сад № 4 аг. Лесной;

граждане, обратившиеся (обращающиеся) в детский сад № 4 аг. Лесной за осуществлением административной процедуры.

Состав персональных данных, обрабатываемых в детском саду № 4 аг. Лесной:

фамилия, собственное имя, отчество (в том числе предыдущие фамилии, имена и отчества в случае их изменения);

число, месяц, год рождения;

место рождения;

сведения о гражданстве (подданстве), в том числе предыдущие гражданства;

вид, серия, номер, код документа, удостоверяющего личность, дата выдачи, наименование (код) органа, выдавшего его;

адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

номера рабочих, домашних (стационарных) и мобильных телефонов или сведения о других способах связи;

реквизиты свидетельства социального страхования;

реквизиты свидетельства о браке;

сведения о семейном положении, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством;

сведения о трудовой деятельности;

сведения о воинском учете и реквизиты документов воинского учета;

сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании (обучении), специальность по документу об образовании, квалификация);

сведения об ученой степени;

сведения о владении иностранными языками, включая уровень владения;

фотография работника детского сада № 4 аг. Лесной;

сведения, содержащиеся в трудовом договоре (контракте), дополнительных соглашениях к трудовому договору (контракту), в приложениях к ним;

сведения о пребываниях за границей;

сведения о наличии или отсутствии судимости кандидатов (соискателей) для приема на работу, назначения на должность – в случаях, определенных законодательством;

сведения о государственных наградах, иных наградах и знаках отличия;

сведения о переподготовке и (или) повышении квалификации;

результаты медицинского обследования (осмотра) работника детского сада № 4 аг. Лесной на предмет годности к выполнению трудовых обязанностей;

сведения о трудовых и социальных отпусках;

сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и социальных выплат;

другие персональные данные, необходимые для реализации целей обработки, указанных в главе 2 Политики.

  1. Документы, содержащие персональные данные:

анкета, автобиография, которые заполняются при приеме на работу;

копия документа, удостоверяющего личность;

личная карточка работника;

трудовая книжка или ее копия;

копии свидетельств о заключении брака, рождении детей;

документы воинского учета;

справки о доходах с предыдущего места работы;

характеристика с предыдущего места работы;

копии документов об образовании;

копии документов обязательного социального страхования;

трудовой договор (контракт);

материалы по повышению квалификации и переподготовке, аттестации, служебным расследованиям;

копии отчетов, направляемые в органы статистики;

другие документы, необходимые для реализации целей обработки, указанных в главе 2 Политики.

 

 

 

 

ГЛАВА 4

ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Детский сад № 4 аг. Лесной вправе поручать обработку персональных данных уполномоченному лицу на основании заключаемого с этим лицом договора. Уполномоченное лицо обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством о защите персональных данных и Политикой.
  2. Персональные данные в детском саду № 4 аг. Лесной обрабатываются следующими способами:

неавтоматизированная обработка;

автоматизированная обработка.

  1. Обработка персональных данных осуществляется путем:

получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;

получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;

формирования персональных дел в ходе кадровой работы;

получения информации, содержащей персональные данные, в устной или письменной форме непосредственно от субъектов, персональных данных;

получения персональных данных в ответ на запросы, направляемые детским садом № 4 аг. Лесной в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случае и порядке, предусмотренных законодательством;

получения персональных данных из общедоступных источников;

фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

внесения персональных данных в информационные системы детского сада № 4 аг. Лесной;

использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой детским садом № 4 аг. Лесной деятельности.

  1. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством.
  2. При обработке персональных данных детский сад № 4 аг. Лесной принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения, копирования, предоставления и других несанкционированных действий в отношении персональных данных.

Защита персональных данных в детском саду № 4 аг. Лесной предусматривает ограничение доступа к ним. Доступ к персональным данным субъектов персональных данных разрешается уполномоченным работникам, которым эти персональные данные необходимы для выполнения должностных обязанностей.

 

ГЛАВА 5

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие на обработку персональных данных посредством подачи заявления в порядке, установленном пунктом 16 Политики, либо в форме, посредством которой получено его согласие.

В пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием детский сад № 4 аг. Лесной прекращает обработку персональных данных, осуществляет их удаление и уведомляет об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом и иными законодательными актами. При отсутствии технической возможности удаления персональных данных принимаются меры по недопущению дальнейшей обработки персональных данных, включая их блокирование.

Окончание срока действия договора, в соответствии с которым осуществлялась обработка персональных данных, или его расторжение влекут последствия, указанные в абзаце первом пункта 11 Политики.

  1. Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

наименование (фамилию, собственное имя, отчество (если таковое имеется) и место нахождения (адрес места жительства (места пребывания) оператора;

подтверждение факта обработки персональных данных оператором (уполномоченным лицом);

его персональные данные и источник их получения;

правовые основания и цели обработки персональных данных;

срок, на который дано его согласие;

наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;

иную информацию, предусмотренную законодательством.

Для получения указанной информации субъект персональных данных подает заявление в соответствии с пунктом 16 Политики.

Детский сад № 4 аг. Лесной обязан в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию либо уведомить его о причинах отказа в ее предоставлении.

Указанная информация не предоставляется:

если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;

если обработка персональных данных осуществляется:

в соответствии с законодательством о государственной статистике;

в соответствии с законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, путем финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь;

в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;

по вопросам ведения криминалистических учетов;

в иных случаях, предусмотренных законодательными актами.

Субъект персональных данных вправе требовать внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает оператору заявление в порядке, установленном пунктом 16 Политики, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные. Детский сад № 4 аг. Лесной обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

  1. Субъект персональных данных вправе получать информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно. Для получения информации о предоставлении своих персональных данных третьим лицам субъект персональных данных подает заявление в порядке, установленном пунктом 16 Политики.

Детский сад № 4 аг. Лесной обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении.

Информация о предоставлении персональных данных третьим лицам может не предоставляться в случаях:

если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;

если обработка персональных данных осуществляется:

в соответствии с законодательством о государственной статистике;

в соответствии с законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, путем финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь;

в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;

по вопросам ведения криминалистических учетов;

в иных случаях, предусмотренных законодательными актами.

  1. Субъект персональных данных вправе требовать бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами.

Для реализации указанного права субъект персональных данных подает заявление в порядке, установленном пунктом 16 Политики.

Детский сад № 4 аг. Лесной обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных. При отсутствии технической возможности удаления персональных данных детский сад № 4 аг. Лесной обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

Детский сад № 4 аг. Лесной вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.

  1. Субъект персональных данных вправе обжаловать действия (бездействие) и решения детского сада № 4 аг. Лесной, нарушающие его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь (220004, г. Минск, ул. Клары Цеткин, 24 – 3) в порядке, установленном законодательством об обращениях граждан и юридических лиц.

Принятое Национальным центром защиты персональных данных Республики Беларусь решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.

  1. Субъект персональных данных для реализации прав, предусмотренных пунктами 11–14 Политики, подает заявление в письменной форме либо в виде электронного документа.

Заявление субъекта персональных данных должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных.

Заявление субъекта персональных данных подлежит регистрации как обращение с иным порядком рассмотрения. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

  1. За содействием в реализации прав субъекта персональных данных, по вопросам защиты персональных данных при их обработке субъект персональных данных вправе обратиться в управление по образованию Минского районного исполнительного комитета(г. Минск, ул. Ольшевского, 8).

 

ГЛАВА 6

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Детский сад № 4 аг. Лесной до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

Трансграничная передача персональных данных на территории иностранных государств, не отвечающих указанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и (или) исполнения договора, стороной которого является субъект персональных данных.

свернуть

Политика в отношении обработки cookie

1.Куки (англ. cookies) являются текстовым файлами, сохраненными на компьютере (мобильном устройстве) пользователя интернет-сайтов [«название организации»] (далее - Сайт, Сайты) при их посещении для отражения совершенных действий. Эти файлы позволяют не вводить заново или выбирать те же параметры при повторном посещении Сайта, например, выбор языковой версии.

Целью обработки куки является обеспечение удобства пользователей Сайтов и повышение качества их функционирования.

2. На Сайтах обрабатываются следующие типы куки:

  • необходимые (технические) - нужны для функционирования корректной работы сайта;
  • функциональные - позволяют обеспечить индивидуальный опыт использования сайта и устанавливаются в ответ на действия субъекта персональных данных;
  • статистические (аналитические) - позволяют хранить историю посещений страниц сайта в целях повышения качества его функционирования, чтобы определить наиболее и наименее популярные страницы.

3. Обрабатываемые на Сайтах куки и сроки их хранения:

Тип куков

Файл куки / Сервис

Назначение

Срок хранения

необходимые

__Secure-SessionId

Этот файл куки сохраняет данные сеанса на время посещения веб-сайта пользователем для обеспечения корректной работы сайта

на время пользования сайтом (сессия)

необходимые

Poll

Этот файл куки сохраняет факт участия в опросе для предотвращения повторного участия в одном и том же опросе

не более года

функциональные

Google Translate*

Данный сервис устанавливает куки файлы для обеспечения сохранения выбора языка при переключении между страницами сайта и идентификации пользователя в сервисах Google

часть на время пользования сайтом, а остальные - не более года

функциональные

Яндекс.Переводчик*

Данный сервис устанавливает куки файлы для обеспечения сохранения выбора языка при переключении между страницами сайта и идентификации пользователя в сервисах Яндекса

часть на время пользования сайтом, а остальные - не более года

функциональные

Яндекс.Поиск*

Данный сервис устанавливает куки файлы для обеспечения работы поиска по сайту и идентификации пользователя в сервисах Яндекса.

часть на время пользования сайтом, а остальные - не более года

статистические

Яндекс.Метрика*

Данный сервис устанавливает куки файлы для сбора информации о поведении пользователей на сайте и идентификации пользователя в сервисах Яндекса.

часть на время пользования сайтом, а остальные - не более 2х лет

* - Названия и количество куков-файлов определяется данными сервисами самостоятельно и могут изменяться.

4. В рамках обеспечения полноценного функционирования Сайта и повышения качества его работы к обработке куков-файлов могут допускаться следующие сторонние организации:

Google Inc. (юридический адрес: 1600 Amphitheatre Parkway, Mountain View, CA 94043, США) с целью обеспечения сохранения выбора языка при переключении между страницами сайта Сайта и идентификации пользователя в сервисах Google;

ООО «Яндекс» (юридический адрес: Российская Федерация, 119021, г. Москва, ул. Л. Толстого, 16) с целями:

  • обеспечения сохранения выбора языка при переключении между страницами сайта Сайта и идентификации пользователя в сервисах Яндекса;
  • обеспечения работы поиска по Сайту и идентификации пользователя в сервисах Яндекса;
  • сбора информации о поведении пользователей на Сайте и идентификации пользователя в сервисах Яндекса.

Указанным организациям на основании согласия пользователя Сайта может осуществляется трансграничная передача информации, собранной при помощи куков-файлов.

При этом Google Inc. имеет юридический адрес в государстве США, на территории которого не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется Национальным центром защиты персональных данных.

5. Пользователи могут принять или отклонить все обрабатываемые на Сайтах куки, кроме необходимых.
Отключение функциональных куки может привести к ограничению пользователя в доступе к определенным функциональным возможностям Сайта.

Отключение статистических куки не позволяет определять предпочтения пользователей Сайта, в том числе наиболее и наименее популярные страницы и принимать меры по совершенствованию работы Сайта исходя из предпочтений пользователей.

6. Сайт сохраняет выбор пользователя о настройках куков-файлов в течение 1 (одного) года. По окончании этого периода Сайт вновь запросит у пользователя Сайта сделать выбор настроек куков-файлов.

Вместе с тем пользователи вправе изменить свой выбор настроек куки (в том числе отозвать согласие) в любое время в интерфейсе Сайта путем нажатия кнопки "Настройка обработки cookie"   размещенную в нижнем левом углу сайта.

7. Помимо настроек куки на Сайте субъекты персональных данных могут принять или отклонить сбор всех или некоторых куки в настройках своего браузера.

При этом некоторые браузеры позволяют посещать интернет-сайты в режиме ”инкогнито“, чтобы ограничить хранимый на компьютере объем информации и автоматически удалять сессионные куки. Кроме того, субъект персональных данных может удалить ранее сохраненные куки, выбрав соответствующую опцию в истории браузера.

свернуть

Защита персональных данных при размещении фото и видео на сайте учреждения

Необходимо ли получать согласие законных представителей воспитанников при размещении их фото и видео на сайте учреждения дошкольного образования?


Не нужно, если основной объект на снимке — не изображение ребенка, а проводимое мероприятие.

В настоящее время в республике принимаются меры по внесению изменений в НПА в целях регулирования вопроса о размещении фотографий и видеозаписей на сайтах организаций.

До внесения соответствующих изменений в акты законодательства государственным учреждениям образования следует руководствоваться Положением о порядке функционирования интернет-­сайтов государственных органов и организаций (утв. постановлением Совета Министров Республики Беларусь от 29.04.2010 № 645 (далее — Положение № 645)).

На основании подп. 7.7 п. 7 Положения № 645 размещение по решению руководителя государственного учреждения образования на сайте, в соцсетях фотографий и видеозаписей с изображением участников мероприятия (в т. ч. несовершеннолетних) без получения их согласия в рамках новостного контента, освещения спортивных, культурных, образовательных мероприятий не рассматривается как нарушение Закона Республики Беларусь от 07.05.2022 № 99-З «О защите персональных данных».

Изображение ребенка при этом не должно быть основным объектом на снимке, фотография должна отражать именно проводимое мероприятие.

В случае, если акцент делается на изображении ребенка, то для размещения таких фотографий или видеоизображения необходимо получать согласие законного представителя воспитанника.

свернуть

Заключение договоров на оказание платных услуг в сфере образования

Согласно п. 1 ст. 130 Кодекса об образовании учреждения образования могут осуществлять приносящую доходы деятельность в соответствии с актами законодательства.

В соответствии с п. 1 ст. 59 Кодекса об образовании для оказания услуг в сфере образования при реализации образовательных программ на платной основе заключается договор, например, на проведение дополнительных занятий по отдельному предмету (предметам), на иные платные услуги и др. При этом одной из сторон договора выступает учреждение образования. На педагогических работников в таких случаях возлагается обязанность осуществления указанных видов деятельности, исходя из педагогической нагрузки.

Таким образом, заключение договоров на оказание платных услуг в сфере образования, а также их исполнение может рассматриваться в качестве трудовой функции работника, поскольку указанные договоры направлены на получение доходов от оказания образовательных и иных услуг учреждением образования.

В отдельных случаях учреждение образования для оказания подобных платных услуг может привлекать педагогических работников по договору подряда. Сторонами таких договоров выступают учреждение образования и педагог, а предметом договоров является оказание образовательных услуг. В подобных случаях получение согласия педагога также не требуется, поскольку правовым основанием обработки является абз. 15 ст. 6 Закона (получение персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором).

свернуть

Организация образовательного и воспитательного процессов

Во многих формах согласия встречается следующая цель обработки: для обеспечения образовательного процесса (вариант — в целях осуществления обучения и воспитания).

Между тем согласие субъекта персональных данных на обработку персональных данных не требуется в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абз. 20 ст. 6абз. 17 п. 2 ст. 8 Закона).

В подп. 1.21 п. 1 ст. 1 Кодекса об образовании образовательный процесс определен как обучение и воспитание, организованные учреждением образования, организацией, реализующей образовательные программы научно-­ориентированного образования, иной организацией, индивидуальным предпринимателем, осуществляющими образовательную деятельность, в целях освоения обучающимися содержания образовательных программ.

Кодекс об образовании в ряде случаев прямо предусматривает представление документов, содержащих персональные данные участников образовательного процесса, в целях его обеспечения или налагает на учреждения образования определенные обязанности, связанные с обработкой персональных данных.


Пример

В ст. 140 Кодекса об образовании установлены общие требования к приему лиц для получения дошкольного образования и перечислены документы, на основании которых осуществляется прием лица в учреждение дошкольного образования.



В других случаях необходимость представления каких-либо документов напрямую в Кодексе об образовании не предусмотрена, однако на учреждения образования возложены определенные обязанности (полномочия), которые не могут быть реализованы без обработки персональных данных.


Пример

В соответствии с подп. 1.21 п. 1 ст. 30 Кодекса об образовании обучающиеся имеют право на участие в олимпиадах, конкурсах, турнирах, фестивалях, конференциях, симпозиумах, конгрессах, семинарах и других образовательных мероприятиях, спортивно-­массовой, общественной, научной, научно-­технической, экспериментальной, инновационной деятельности. Таким образом, участие в данных мероприятиях является частью образовательного процесса. Для организации и проведения образовательных мероприятий учреждение образования обязано обрабатывать персональные данные их участников.


Как обработка персональных данных, которая является необходимой для выполнения таких обязанностей (полномочий), рассматриваются и случаи, когда законодательный акт содержит отсылочную норму об определении порядка реализации обязанностей (полномочий) в иных НПА, например постановлениях Совета Министров. Такие обязанности (полномочия) предоставлены рядом статей Кодекса об образовании, согласно которым Правительство или Министерство образования наделяются правом определять порядок и условия реализации отдельных отношений, возникающих в сфере образования.

В отдельных случаях учреждения образования предлагали подписать согласие на обработку персональных данных несовершеннолетнего в целях физического воспитания. Однако получать согласие в данном случае также не требуется.

В соответствии с подп. 5.6 п. 5 ст. 17 Кодекса об образовании к числу основных требований к воспитанию относятся воспитание физической культуры, физическое совершенствование.

Согласно абз. 7 ст. 83 Кодекса об образовании организация безопасности проведения занятий физической культурой и спортом с обучающимися осуществляется в соответствии с Правилами безопасности проведения занятий физической культурой и спортом (утв. постановлением Министерства спорта и туризма Республики Беларусь от 31.08.2018 № 60).

Таким образом, в большинстве случаев вопросы, связанные с организацией обучения, обеспечением образовательного и воспитательного процессов и деятельностью его участников урегулированы в Кодексе об образовании и принятых на его основании НПА. Поэтому обработка персональных данных в таких случаях будет осуществляться на основании абз. 20 ст. 6 либо абз. 17 п. 2 ст. 8 Закона, и согласие субъекта персональных данных (его законных представителей) не требуется.

свернуть

Организация пропускного режима и видеонаблюдения

Под пропускным режимом понимается порядок, обеспечиваемый совокупностью мероприятий и правил, исключающих возможность бесконтрольного входа (выхода) лиц, въезда (выезда) транспортных средств, вноса (выноса), ввоза (вывоза) имущества на охраняемые объекты (с охраняемых объектов), устанавливаемый в целях защиты охраняемых объектов от противоправных посягательств (абз. 10 ст. 1 Закона Республики Беларусь от 08.11.2006 № 175-З «Об охранной деятельности в Рес­публике Беларусь»).

Что касается видеонаблюдения, то согласно подп. 5.2 п. 5 Указа Президента Республики Беларусь от 28.11.2013 № 527 «О вопросах создания и применения системы видеонаблюдения в интересах обеспечения общественного порядка» облисполкомы и Минский горисполком по представлению республиканских органов государственного управления, являющихся пользователями системы видеонаблюдения, Департамента финансовых расследований Комитета государственного контроля, Службы безопасности Президента и Оперативно-­аналитического центра при Президенте утверждают перечни объектов, подлежащих обязательному оборудованию средствами системы видеонаблюдения с учетом критериев, утверждаемых Советом Министров. В числе таких объектов значатся и учреждения образования.

Таким образом, пропускная система и видеонаблюдение рассматриваются в качестве мероприятий, направленных на исключение бесконтрольного входа (выхода) на охраняемый объект. Обработка персональных данных в таких случаях осуществляется на основании абз. 20 ст. 6 Закона.

При этом обрабатываемые работниками охраны персональные данные не должны быть избыточными по отношению к цели их обработки.

В связи с этим использование интеллектуальных систем распознавания лиц, иных подобных систем контроля и управления доступом не соответствует требованиям Закона, поскольку цель обработки — осуществление пропускного режима — может быть достигнута иными способами, в т. ч. путем использования карточной системы, наличия вахтера и т. п.

свернуть

Оформление трудовых отношений, процесс трудовой деятельности

В соответствии с абз. 8 ст. 6 и абз. 3 п. 2 ст. 8 Закона согласие субъекта персональных данных на обработку персональных данных, в т. ч. специальных персональных данных, не требуется при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством.

Однако несмотря на наличие данного правового основания, некоторые учреждения образования все же предлагали работникам подписать согласие на обработку персональных данных в различных целях.

В процессе трудовой (служебной) деятельности необходимость обработки персональных данных возникает регулярно. В одних случаях обработка персональных данных прямо предусматривается в актах законодательства, равно как и перечень обрабатываемых персональных данных либо формы (образцы) документов.


Пример

Постановлением Министерства труда и социальной защиты Республики Беларусь от 16.06.2014 № 40 «О трудовых книжках» установлены образец трудовой книжки и форма книги учета движения трудовых книжек и вкладышей к ним. Инструкцией о порядке формирования, ведения и хранения личных дел работников (утв. постановлением Комитета по архивам и делопроизводству при Совете Министров Республики Беларусь от 26.03.2004 № 2) установлены формы личного листка по учету кадров, дополнения к личному листку по учету кад­ров, журнала (книги) учета личных дел, контрольной карточки.



В иных случаях у нанимателя остается определенная степень усмотрения в части круга обрабатываемых сведений.

Справочно: в соответствии со ст. 80 ТК наниматель при выплате заработной платы ежемесячно обязан выдавать каждому работнику расчетный листок с указанием в нем составных частей заработной платы, причитающейся ему за соответствующий период, размеров удержаний из заработной платы, а также общей суммы заработной платы, подлежащей к выплате. Форма расчетного листка утверждается нанимателем.

Не требуется согласие на обработку персональных данных и в тех случаях, когда обработка персональных данных и их перечень прямо не называются в акте законодательства, но на нанимателя возлагаются определенные обязанности, требующие использования персональных данных.


Пример

Трудовой кодекс возлагает на нанимателя обязанность выдавать заработную плату в сроки и размерах, установленных законодательством, коллективным договором, соглашением или трудовым договором. Соответственно, работник должен открыть в банке счет и представить эту информацию нанимателю для последующего зачисления заработной платы.



Предоставление персональных данных работников третьим лицам, т. е. действие, направленное на ознакомление с персональными данными определенных лица или круга лиц, также является обработкой персональных данных и должно осуществляться с соблюдением установленных Законом требований, в т. ч. при наличии соответствующего правового основания.


Пример

Налоговым кодексом Республики Беларусь установлена обязанность налоговых агентов представлять по требованию налоговых органов документы и (или) информацию, необходимые для осуществления контроля за правильностью исчисления, удержания и перечисления в бюджет соответствующих налогов, сборов (пошлин) (подп. 3.3 п. 3 ст. 23 Налогового кодекса).

Статьей 10 Закона Республики Беларусь от 06.01.1999 № 230-З «Об индивидуальном (персонифицированном) учете в системе государственного социального страхования» установлена обязанность плательщиков взносов на государственное социальное страхование представлять в установленном порядке в органы, осуществляющие персонифицированный учет, достоверные сведения, необходимые для ведения персонифицированного учета.



Соответственно, если предоставление персональных данных работника в процессе его трудовой деятельности обусловлено требованиями законодательства, то оно осуществляется на основании абз. 8 ст. 6 и абз. 3 п. 2 ст. 8 Закона.

При осуществлении образовательного процесса предполагается взаимодействие обучающегося и педагогических работников. Более того, Кодексом об образовании предусмотрены различные формы такого взаимодействия. Оно охватывается трудовой функцией педагогического работника, поэтому получать согласие на обработку персональных данных для реализации данной цели не требуется.

свернуть

Внесение изменений в локальные правовые акты

В должностные инструкции работников, трудовая функция которых связана с обработкой персональных данных (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы)), педагогических работников необходимо внести положения, касающиеся соблюдения установленного законодательством о персональных данных и локальными правовыми актами порядка обработки персональных данных.

Конкретный перечень таких обязанностей определяется в каждом конкретном случае исходя из специфики деятельности работника. Примерный перечень таких обязанностей можно найти на сайте НЦЗПД.

В должностных инструкциях остальных работников, обрабатывающих персональные данные, может быть предусмотрена их обязанность «соблюдать установленный законодательством о защите персональных данных и локальными правовыми актами порядок обработки персональных данных».

свернуть

Ознакомление работников с документами

Важно помнить и о том, что к числу обязательных мер по обеспечению защиты персональных данных относится не только подготовка вышеуказанных документов, но и ознакомление работников учреждения образования и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, иными документами, а также обучение указанных работников и иных лиц в порядке, установленном законодательством (абз. 4 п. 3 ст. 17 Закона).

Порядок ознакомления (ознакомление под роспись и др.) определяет само учреждение образования. Важно, чтобы это ознакомление не носило формального характера, а работники детально ознакомились с тем объемом информации, который им необходим для успешного выполнения трудовых функций.

свернуть

Требования к оформлению согласия

Если правовым основанием обработки персональных данных является согласие субъекта персональных данных (в отношении несовершеннолетнего — его законного представителя), оно должно соответствовать требованиям, предусмотренным ст. 5 Закона.

В соответствии с п. 1 ст. 5 Закона согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

Чтобы оценить, является ли согласие свободным, следует исходить из того, обладает ли субъект персональных данных реальным выбором, давать или не давать свое согласие, либо его согласие является вынужденным, например, в силу связанности согласия с достижением иной, желаемой для него цели (например, заключением договора, осуществлением трудовой функции, зачислением в учреждение дошкольного образования).

В целях обеспечения информированного согласия субъекту персональных данных до начала обработки должна быть предоставлена информация, предусмотренная п. 5 ст. 5 Закона.

Центром разработана примерная форма согласия на обработку персональных данных. Данная форма доступна на сайте Центра (короткая ссылка — clck.ru/yG2V2).

 

свернуть

Согласие родителей (законных представителей) на обработку персональных данных

Согласие родителя (законного представителя) на обработку персональных данных

Я, __________________________________________________________________________,  

(ФИО полностью)

проживающий по адресу______________________________________________________

(адрес места жительства)

являясь на основании_________________________________________________________,

(свидетельство о рождении, документ об установлении отцовства,

решение об опеке и т.д.)

родителем (законным представителем)____________________________________________

ФИО ребенка, дата рождения полностью

воспитанника ________________________группы ГУО «Детский сад №4 аг. Лесной» настоящим подтверждаю свое согласие оператору персональных данных – ГУО «Детский сад №4 аг. Лесной», расположенное по адресу Минская область, Минский район, аг. Лесной, ул. Н.Н. Александрова, д. 1А на обработку персональных данных моего ребенка в целях осуществления обучения и воспитания в интересах личности, общества и государства, обеспечения охраны здоровья и создания благоприятных условий для разностороннего развития личности и информационного обеспечения  управления образовательным процессом:

-сведения, содержащиеся в документах, удостоверяющих личность: фамилия, имя, отчество, пол, дата рождения, серия и номер свидетельства о рождении (паспорта), когда и кем выдан, место рождения, гражданство, адрес регистрации и проживания, номер телефона;

-сведения о родителях (лицах их заменяющих): фамилия, имя, отчество, место работы, должность, телефон, адрес регистрации и проживания;

-сведения о семье: социальный статус, количество детей, полнота семьи;

-информация медицинского характера: рост, вес, сведения о прививках, группа здоровья физкультурная группа;

-иные документы (документы для получения единовременного социального пособия, документы для обеспечения льготами, использования фото- и видеоматериалов для размещения на интернет-ресурсе ГУО «Детский сад №4 аг. Лесной»).

Обработка персональных данных моего ребенка включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, а также передачу в управление по образованию Минского районного исполнительного комитета, обезличивание, блокирование, удаление и уничтожение.

Способ обработки персональных данных: неавтоматизированный (ручной), автоматизированный.

Настоящее согласие действует до момента отзыва, если иное не предусмотрено законодательством Республики Беларусь.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в 15-дневный срок.

 

_____________                      ___________                       _______________________

         дата                                                       подпись                                                                     расшифровка

свернуть

Когда согласие брать не следует

Согласие субъекта персональных данных не является универсальным или обязательным условием для обработки персональных данных. Обработка персональных данных осуществляется без согласия субъекта персональных данных в случаях, предусмотренных ст. 6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).

При определении правового основания обработки персональных данных в учреждении образования заведующему необходимо внимательно изучить ст. 6 и ч. 2 ст. 8 Закона. И только в том случае, если ни одно из указанных в них оснований не подходит, можно говорить о том, что обработку персональных данных необходимо осуществлять на основании согласия.

Еще одним критерием, позволяющим определиться с выбором правового основания обработки, может являться, в частности, тот факт, что отзыв согласия, если субъект решит воспользоваться своим правом, сам по себе не повлечет прекращения обработки персональных данных. Если такая обработка будет продолжаться, например, в силу требований законодательных актов, необходимости выполнения возложенных на оператора или уполномоченное лицо обязанностей, продолжения исполнения условий договора, следует констатировать, что обработка персональных данных должна осуществляться на ином правовом основании, и согласие субъекта персональных данных не требуется. И только лишь в ситуации, когда обработка персональных данных в тех или иных процессах зависит исключительно от воли субъекта, следует говорить о необходимости получения согласия как правового основания обработки.

Анализ правоприменительной практики и обращений, поступающих в Национальный центр защиты персональных данных, выборочный мониторинг сайтов учреждений образования показали, что в учреждениях образования существуют серьезные проблемы, связанные с выбором правового основания обработки персональных данных для тех или иных целей. Например, согласие родителя (законного представителя) на обработку персональных данных несовершеннолетнего, формы которого разработаны и предлагаются к подписанию учреждениями образования, не соответствует требованиям Закона ни по форме, ни по содержанию.

 В соответствии с п. 1 ст. 5 Закона согласие на обработку персональных данных представляет собой свободное выражение воли субъекта персональных данных. Во многих формах согласия, используемых учреждениями образования, родителю (законному представителю) или обучающемуся не предоставлена возможность по своему усмотрению отказаться от одной или нескольких целей обработки, а также отозвать согласие в отношении одной или нескольких целей обработки, что не согласуется с требованиями ст. 5 Закона.

 

 

 

свернуть
поделиться в: