Политика обработки персональных данных

УТВЕРЖДЕНО
Директор учреждения
«Территориальный центр
социального обслуживания
населения «Теплый дом»
01.02.2022 г.
ПОЛИТИКА
в отношении обработки персональных данных
учреждения «Территориальный центр социального обслуживания
населения «Теплый дом»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика учреждения «Территориальный центр
социального обслуживания населения «Теплый дом» (далее – Центр) в
отношении обработки персональных данных (далее – Политика) разработана
в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О
защите персональных данных» (далее – Закон о персональных данных) и иным
законодательством Республики Беларусь в целях обеспечения защиты
персональных данных, прав и свобод физических лиц при обработке их
персональных данных.
1.2. Политика действует в отношении персональных данных, которые
обрабатывает Центр (далее – Оператор).
2. ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
2.1. Автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники.
2.2. Информационная система – совокупность содержащихся в базах
данных персональных данных, и обеспечивающих их обработку
информационных технологий и технических средств.
2.3. Информация - сведения (сообщения, данные) о лицах, предметах,
фактах, событиях, явлениях и процессах независимо от формы их
представления.
2.4. Обработка персональных данных - любое действие или совокупность
действий, совершаемые с персональными данными, включая сбор,
систематизацию, хранение, изменение, использование, обезличивание,
блокирование, распространение, предоставление, удаление персональных
данных.
2.5. Общедоступные персональные данные – персональные данные,
распространенные самим субъектом персональных данных либо с его согласия
или распространенные в соответствии с требованиями законодательных актов.
2
2.6. Оператор – государственный орган, юридическое лицо Республики
Беларусь, иная организация, физическое лицо, в том числе индивидуальный
предприниматель (далее, если не определено иное, - физическое лицо),
самостоятельно или совместно с иными указанными лицами организующие и
(или) осуществляющие обработку персональных данных.
2.7. Персональные данные – любая информация, относящаяся к
идентифицированному физическому лицу или физическому лицу, которое
может быть идентифицировано.
2.8. Субъект персональных данных - физическое лицо, в отношении
которого осуществляется обработка персональных данных.
3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется в соответствии с
Законом о персональных данных на основе следующих принципов:
- обработка персональных данных осуществляется на законной и
справедливой основе;
- обработка персональных данных осуществляется соразмерно заявленным
целям их обработки и обеспечивает на всех этапах такой обработки
справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных осуществляется с согласия субъекта
персональных данных, за исключением случаев, предусмотренных
законодательными актами;
- обработка персональных данных ограничивается достижением конкретных,
заранее заявленных законных целей. Не допускается обработка персональных
данных, не совместимая с первоначально заявленными целями их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют
заявленным целям их обработки. Обрабатываемые персональные данные не
являются избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных носит прозрачный характер. Субъекту
персональных данных может предоставляться соответствующая информация,
касающаяся обработки его персональных данных;
- оператор принимает меры по обеспечению достоверности обрабатываемых
им персональных данных, при необходимости обновляет их;
- хранение персональных данных осуществляется в форме, позволяющей
идентифицировать субъекта персональных данных, не дольше, чем этого
требуют заявленные цели обработки персональных данных.
3.2. Персональные данные обрабатываются в целях:
 обеспечения соблюдения Конституции Республики Беларусь,
законодательных и иных нормативных правовых актов Республики Беларусь,
локальных правовых актов Оператора;
 осуществления функций, полномочий и обязанностей, возложенных
законодательством Республики Беларусь на Оператора, в том числе по
3
предоставлению персональных данных в органы государственной власти, в
Фонд социальной защиты населения Министерства труда и социальной
защиты Республики Беларусь, а также в иные государственные органы;
 регулирования трудовых отношений с работниками Оператора (содействие в
трудоустройстве, обучении);
 уведомления субъекта персональных данных об услугах, оказываемых
Оператором;
 коммуникации с субъектом персональных данных;
 осуществления прав и законных интересов Оператора в рамках осуществления
видов деятельности, предусмотренных Уставом и иными локальными
правовыми актами, либо достижения общественно значимых целей;
 в иных законных целях.
3.3. Перечень персональных данных, на обработку которых Субъект дает
согласие:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес о регистрации/проживании, почтовый индекс;
- дата рождения ребенка;
- сведения, содержащиеся в документе, удостоверяющем личность;
3.4. Перечень персональных данных, обрабатываемых Оператором, в
отношении других субъектов персональных данных, определяется в
соответствии с законодательством Республики Беларусь и локальными
правовыми актами Оператора с учетом целей обработки персональных
данных, указанных в гл. 3 Политики.
4. ДЕЙСТВИЯ, ОСУЩЕСТВЛЯЕМЫЕ С
ПЕРСОНАЛЬНЫМИ ДАННЫМИ
4.1. Обработка персональных данных осуществляется с согласия
Субъекта персональных данных на обработку их персональных данных, а
также без такового согласия в случаях, предусмотренных законодательством
Республики Беларусь.
4.2. Оператор без согласия Субъекта персональных данных не
раскрывает третьим лицам и не распространяет персональные данные, если
иное не предусмотрено законодательством Республики Беларусь.
4.3. К обработке персональных данных допускаются работники
Оператора, в должностные обязанности которых входит обработка
персональных данных.
4.4. Оператор обрабатывает персональные данные субъекта, полученные
путем:
получения персональных данных в устной и письменной форме (в том
числе путем заполнения анкет) непосредственно от Субъекта персональных
данных;
получения персональных данных из общедоступных источников;
4
4.5. Оператор осуществляет сбор (получение), обработку (запись,
систематизацию, накопление, уточнение, обновление, изменение, извлечение,
использование), хранение, передачу (распространение, предоставление
доступа), уничтожение (обезличивание, блокирование, удаление)
персональных данных в целях, указанных в Политике.
4.6. Персональные данные могут храниться на бумажных носителях, в
форме компьютерных файлов, в Информационных системах Оператора.
4.7. Оператор принимает необходимые меры по удалению или
уточнению неполных или неточных данных.
5. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор принимает правовые, организационные и технические
меры по обеспечению защиты персональных данных от
несанкционированного или случайного доступа к ним, изменения,
блокирования, копирования, распространения, предоставления, удаления
персональных данных, а также от иных неправомерных действий в отношении
персональных данных.
5.2. Меры, необходимые и достаточные для обеспечения исполнения
Оператором обязанностей, предусмотренных законодательством Республики
Беларусь в области персональных данных, включают:
- предоставление субъектам персональных данных необходимой информации
до получения их согласий на обработку персональных данных;
- разъяснение Субъектам персональных данных их прав, связанных с
обработкой персональных данных;
- получение письменных согласий Субъектов персональных данных на
обработку их персональных данных, за исключением случаев,
предусмотренных законодательством Республики Беларусь;
- назначение лица, ответственного за осуществление внутреннего контроля за
обработкой персональных данных;
- ознакомление работников, непосредственно обрабатывающих персональные
данные у Оператора, с положениями законодательства о персональных
данных.
- установление порядка доступа к персональным данным, в том числе
обрабатываемым в Информационной системе;
- осуществление технической и криптографической защиты персональных
данных в порядке, установленном Оперативно-аналитическим центром при
Президенте Республики Беларусь, в соответствии с классификацией
информационных ресурсов (систем), содержащих персональные данные;
- обеспечение неограниченного доступа, в том числе с использованием
глобальной компьютерной сети Интернет, к документам, определяющим
политику Оператора в отношении обработки персональных данных, до начала
такой обработки;
5
- прекращение обработки персональных данных при отсутствии оснований
для их обработки;
- незамедлительное уведомление уполномоченного органа по защите прав
Субъектов персональных данных о нарушениях систем защиты персональных
данных;
- изменение, блокирование, удаление недостоверных или полученных
незаконным путем персональных данных;
- ограничение обработки персональных данных достижением конкретных,
заранее заявленных законных целей;
- осуществление хранения персональных данных в форме, позволяющей
идентифицировать субъектов персональных данных, не дольше, чем этого
требуют заявленные цели обработки персональных данных.
5.3. Меры по обеспечению безопасности персональных данных при их
обработке в информационных системах устанавливаются в соответствии с
локальными правовыми актами Оператора, регламентирующими вопросы
обеспечения безопасности персональных данных при их обработке в
Информационных системах Оператора.
6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за
исключением случаев, предусмотренных законодательством. Сведения
предоставляются Субъекту персональных данных Оператором в доступной
форме, и в них не должны содержаться персональные данные, относящиеся к
другим Субъектам персональных данных, за исключением случаев, когда
имеются законные основания для раскрытия таких персональных данных.
- отзыв согласия на обработку персональных данных;
- получение информации, касающейся обработки своих персональных
данных;
- изменение своих персональных данных;
- получение информации о предоставлении своих персональных данных
третьим лицам;
- требовать прекращения обработки персональных данных;
- требовать удаления своих персональных данных;
- обжаловать действия (бездействия) и решения Оператора, связанные
обработкой персональных данных.
6.2. Субъект персональных данных для реализации прав,
предусмотренных законодательством, подает заявление Оператору в
письменной форме либо в виде электронного документа;
6.3. Заявление в письменной форме направляется по месту нахождения
Оператора.
6
6.4. Заявление в форме электронного документа направляется на
электронную почту Оператора.
6.5. Если в заявлении субъекта персональных данных не отражены в
соответствии с требованиями Закона о персональных данных все
необходимые сведения или субъект не обладает правами доступа к
запрашиваемой информации, то ему направляется мотивированный отказ.
6.6. Субъекту персональных данных может быть отказано в
предоставлении информации в соответствии с п. 3 ст. 11 Закона о
персональных данных.
6.7. При достижении целей обработки персональных данных, а также в
случае отзыва Субъектом персональных данных согласия на их обработку,
персональные данные подлежат удалению, если иное не предусмотрено
другим соглашением между Оператором и Субъектом персональных данных
или законодательством.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящая политика действует бессрочно до замены ее новой версией.
Юрисконсульт Н.А.Мизула

ПОЛОЖЕНИЕ
о реестре обработки
персональных данных

1. Настоящее Положение определяет порядок ведения реестра обработки персональных данных (далее, если не определено иное, – Реестр) в [”название организации“], состав включаемых в него сведений, порядок их внесения в Реестр, изменения и исключения из него.

2. Реестр ведется в целях осуществления надлежащего контроля за обработкой персональных данных [”название организации“], осуществления систематизации и учета видов обработки персональных данных по форме согласно приложению.

3. Последовательность размещения записей в Реестре определяется [”наименование структурного подразделения или должности лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных“] (далее – специалист по контролю за обработкой персональных данных).

4. Реестр размещается в сетевой папке [”Внутренний контроль“] локальной вычислительной сети [”название организации“] в [”excel-файле“, ”базе данных“, ”автоматизированной информационной системе“, ”ином формате“].

5. Сведения в Реестр вносятся, изменяются в нем и исключаются из него специалистом по контролю за обработкой персональных данных по предложению руководителей структурных подразделений по направлениям их деятельности или уполномоченных ими лиц (далее – ответственное лицо).

Предложения направляются специалисту по контролю за обработкой персональных данных в электронном виде по форме согласно приложению в рабочем порядке.

5^*. Сведения в Реестр вносятся, изменяются в нем и исключаются из него руководителями структурных подразделений по направлениям их деятельности или уполномоченными ими лицами (далее – ответственное лицо) по форме согласно приложению.

6. Специалист по контролю за обработкой персональных данных поддерживает Реестр в актуальном состоянии, в том числе:

вносит, изменяет и исключает сведения в Реестре по предложению ответственных лиц;^*

при необходимости вносит предложения структурным подразделениям по направлениям их деятельности о дополнении Реестра, изменении сведений в нем и исключении их из него;

вносит [”руководителю“] [”название организации“] предложения о совершенствовании структуры Реестра и порядка его ведения;

осуществляет резервное копирование Реестра по мере его наполнения, но не реже одного раза в полугодие^*.

7. Резервное копирование Реестра производится [”системным администратором“, ”специалистом по контролю за обработкой персональных данных“, ”иным лицом“] на [”персональный компьютер системного администратора“, ”внешний жесткий диск“,”иной носитель информации“].

8. В случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, ответственные лица направляют специалисту по контролю за обработкой персональных данных предложения о дополнении Реестра, изменении сведений в нем или исключении их из него в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.

8^*. В случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, ответственные лица дополняют Реестр, изменяют сведения в нем или исключают их из него, а также уведомляют в рабочем порядке специалиста по контролю за обработкой персональных данных в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.

9. В целях обеспечения единообразия и осуществления контроля специалист по контролю за обработкой персональных данных вправе уточнять (в рабочем порядке) содержание сведений в Реестре у ответственных лиц.

10. В случае несогласия со специалистом по контролю за обработкой персональных данных ответственные лица вправе обратиться к [”руководителю“] [”название организации“] с предложениями о дополнении, изменении или исключении Реестра.

По результатам рассмотрения таких предложений решение об окончательной редакции сведений Реестра принимается [”руководителем“] [”название организации“].

Приложение
к Положению о реестре обработки
персональных данных
__.04.2022 № ___

Форма

РЕЕСТР

обработки персональных данных

[1] При отсутствии возможности отразить исчерпывающий перечень обрабатываемых персональных данных следует указывать ссылку на конкретную норму акта законодательства (если таковая имеется).

[2] Отражается норма Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“. Нормы иных актов законодательства могут отражаться в примечании. В этом столбце, в примечании и иных столбцах допускается использовать сокращения (Закон, п., абз., ч., ст.).

[3] Отражаются категории получателей (уполномоченные лица), получающие персональные данные на регулярной (постоянной) основе в соответствии с законодательными актами, при этом законодательными актами могут быть предусмотрены и иные случаи обязательной передачи персональных данных, в том числе их передача контрольным и надзорным органам, правоохранительным органам, суду.

[4] В случае, если персональные данные содержатся в документе, подлежащем передаче в архив, следует руководствоваться сроком хранения, определенным в номенклатуре дел.

В иных случаях такой срок определяется, исходя из необходимости соблюдения пункта 8 статьи 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ с учетом сроков хранения типовых документов Национального архивного фонда, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, определенных республиканским органом государственного управления в сфере архивного дела и делопроизводства (например, постановление Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 ”О перечне типовых документов Национального архивного фонда Республики Беларусь“).

Срок указывается в днях. Год условно определяется как 365 дней, а месяц – 30 дней.

[5] В примечании может содержаться иная необходимая информация, в том числе ссылки на акты законодательства, не нашедшие отражение в 5 и 6 столбцах.

Основные права субъекта персональных данных

Субъекты персональных данных в соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) наделены широким кругом прав. Права субъекта персональных данных являются действенным инструментом контроля за обработкой принадлежащих ему персональных данных.

Важно!

Соответствующие права принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).

Основные права субъектов персональных данных закреплены в Законе. К ним относятся:

право на отзыв согласия;

право на получение информации, касающейся обработки персональных данных;

право требовать внесения изменений в персональные данные;

право на получение информации о предоставлении персональных данных третьим лицам;

право требовать прекращения обработки персональных данных и (или) их удаления;

право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;

право на возмещение морального вреда.

Реализация прав субъекта персональных данных

Права субъекта персональных данных реализуются путем подачи заявления оператору. В случае направления заявления субъекта персональных данных для реализации своих прав уполномоченному лицу, последний не обязан отвечать на данный запрос. Вместе с тем, ответ уполномоченным лицом на заявление субъекта персональных данных не будет противоречить законодательству о персональных данных.

Порядок подачи заявления субъектом персональных данных оператору установлен в статье 14 Закона.

Для реализации прав, предусмотренных статьями 10 – 13 Закона, субъекту персональных данных необходимо подать оператору заявление в письменной форме либо в виде электронного документа.

Заявление субъекта персональных данных должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

Срок ответа на заявление зависит от реализуемого субъектом персональных данных права (часть первая пункта 2 статьи 10, пункт 2, часть вторая пункта 4 статьи 11, пункт 2 статьи 12, часть первая пункта 2 статьи 13 Закона):