Примерная политика в отношении обработки персональных данных для УОСО, УДО

(по состоянию на 1 апреля 2024 г.)

1. Общие положения

1.1. Учреждение образования уделяет внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных. Настоящая Политика является одной из принимаемых учреждением образования мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).

Юридический и почтовый адрес учреждения образования (оператор):

___________________________________________________________

адрес в сети Интернет: _______________________________________

e-mail: _____________________________________________________

1.2. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации. Политика не применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников и бывших работников), при видеонаблюдении, а также при обработке cookie-файлов на интернет-сайте учреждения образования.

Справочно.

Оператором может быть разработана либо одна общая Политика в виде отдельного (самостоятельного) документа, либо несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора порядок обработки персональных данных в определенных сферах или в связи с определенными процессами. В случае, если принято решение о разработке нескольких политик, таковыми могут выступать:

• политика в отношении обработки персональных данных при осуществлении учреждением образования функций, возложенных на него законодательством об образовании;
• политика в отношении обработки персональных данных в процессе трудовой деятельности;
• политика видеонаблюдения;
• политика в отношении обработки cookie-файлов на интернет-сайте учреждения образования.

1.3. В настоящей Политике используются термины и их определения в значении, определенном Законом.

1.4. Учреждение образования осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.

2. Цели, категории субъектов персональных данных, чьи данные подвергаются обработке, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных

2.1. Учреждение образования осуществляет обработку персональных данных определенных категорий субъектов персональных данных в объеме, на правовых основаниях и в сроки применительно к каждой цели согласно приложению 1 к настоящей Политике.

Справочно.

В приложении 1 к настоящей Политике размещаются цели, объем, правовые основания и сроки обработки персональных данных учреждением образования соответствующего уровня.

2.2. Учреждение образования осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.

2.3. Учреждение образования вправе предоставлять персональные данные третьим лицам только при наличии оснований, предусмотренных законодательными актами.

3. Уполномоченные лица[2]. Трансграничная передача персональных данных

3.1. Учреждение образования поручает обработку персональных данных уполномоченным лицам. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению учреждения образования, содержится в приложении 2 к настоящей Политике.

Справочно.

В случае если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в Политике рекомендуется указывать:

наименование и местонахождение уполномоченного лица (уполномоченных лиц) или категории уполномоченных лиц;

основания обработки персональных данных уполномоченным лицом (наличие договора, акта законодательства либо решения государственного органа);

перечень персональных данных, обработка которых поручена уполномоченному лицу (уполномоченным лицам);

перечень действий с персональными данными, осуществляемых уполномоченным лицом (уполномоченными лицами).

На основании подпункта 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2028 г. № 422 “О мерах по совершенствованию защиты персональных данных” операторы, являющиеся государственными органами, юридическими лицами Республики Беларусь, иными организациями, устанавливают и поддерживают в актуальном состоянии перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами.

Анализ складывающейся практики показывает, что для учреждений общего среднего образования такими уполномоченными лицами выступают ОАО ”Белинвестбанк“ (для целей изготовления билета учащегося в г. Минске), организации, предоставляющие услуги хостинга при ведении официального интернет-сайта учреждения образования, организации, предоставляющие сервисы для ведения электронных журналов и дневников учащихся (например, ООО «Образовательные системы» (информационный ресурс schools.by), ООО «ЭдуТехСолюшн» (информационный ресурс Знай.бай), организации, предоставляющие сопутствующие услуги при организации школьного питания (например, СООО «АЙ ПЭЙ», ООО «ЭдуТехСолюшн» и др.)и другие.

В случае отсутствия у учреждения образования уполномоченных лиц, указанный раздел следует исключить из настоящей политики. Такая ситуация, например, может наблюдаться у отдельных учреждений дошкольного образования.  

3.2. Учреждение образования осуществляет трансграничную передачу персональных данных для обеспечения непрерывной коммуникации с пользователями социальных сетей и мессенджеров (Вконтакте, Instagram, TikTok, Теlegram, видеохостинг YouTube).

Справочно.

Обращаем внимание, что ведение аккаунтов в социальных сетях и мессенджерах сопряжено с трансграничной передачей персональных данных субъектов (работников, обучающихся, иных лиц).

В соответствии с пунктом 12 Рекомендаций по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, при осуществлении трансграничной передачи персональных данных в Политике отражаются применительно к каждой цели передачи персональных данных:

субъекты (категории субъектов) в иностранных государствах, которым персональные данные могут быть переданы;

страны, на территории которых находятся такие субъекты (категории субъектов);

основания для трансграничной передачи.

В качестве оснований для трансграничной передачи персональных данных могут быть указаны:

основания, предусмотренные пунктом 3 статьи 4, статьей 6, пунктом 2 статьи 8 Закона (в случае передачи персональных данных в иностранные государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных);

основания, предусмотренные пунктом 1 статьи 9 Закона (в случае передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).

Кроме того, в Политике указывается, отнесены ли страны, в которые планируется осуществлять трансграничную передачу персональных данных, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

Перечень стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14.

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право:

4.1.1. на получение информации, касающейся обработки своих персональных данных учреждением образования, содержащей:

• сведения о наименовании и месте нахождения учреждения образования;
• подтверждение факта обработки персональных данных субъекта персональных данных в учреждении образования;
• его персональные данные и источник их получения;
• правовые основания и цели обработки персональных данных;
• срок, на который дано согласие;
• наименование и место нахождения уполномоченных лиц, если обработка персональных данных поручена таким лицам;
• иную информацию, предусмотренную законодательством;

4.1.2. на получение от учреждения образования информации о предоставлении своих персональных данных, обрабатываемых в учреждении образования, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

4.1.3. на обжалование действий (бездействия) и решений учреждения образования, нарушающих его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь.

4.2. Для реализации своих прав субъект персональных данных подает в учреждение образования заявление в письменной форме (почтой/нарочно) или в виде электронного документа, а в случае реализации права на отзыв согласия – в форме, в которой оно было получено.

Такое заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

4.3. Учреждение образования не рассматривает заявления субъектов персональных данных, не соответствующие требованиям пункта 5.2 настоящей Политики, в том числе направленные иными способами (e-mail, телефон, факс и т.п.).

4.4. За содействием в реализации прав, связанных с обработкой персональных данных в учреждении образования, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в учреждении образования, по телефону: 000-00-00.

Приложение 1

Цели, объем, правовые основания и сроки обработки персональных данных учреждением образования

Приложение 2

Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению учреждения образования

 [1] Далее по тексту – учреждение образования

[2] В случае, если учреждение образования поручает обработку персональных данных уполномоченным лицам.