УТВЕРЖДЕНО
приказом государственного
учреждения «Республиканский
реабилитационный центр
для детей-инвалидов»
от 11.11.2021 № 168
ПОЛИТИКА
обработки персональных данных в государственном учреждении «Республиканский реабилитационный центр для детей-инвалидов»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
- Политика обработки персональных данных в государственном учреждении «Республиканский реабилитационный центр для детей-инвалидов» (далее – Политика) разработана в соответствии с Законом Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (вступает в силу с 15.11.2021 за исключением статей 20 и 21) (далее – Закон о защите персональных данных), иным законодательством Республики Беларусь, определяющим случаи и особенности обработки персональных данных физических лиц и обеспечения безопасности и конфиденциальности такой информации, Уставом и локальными нормативными правовыми актами государственного учреждения «Республиканский реабилитационный центр для детей-инвалидов» (далее – Центр).
- Настоящая Политика разработана в целях реализации требований законодательства о защите персональных данных при их обработке в Центре.
- Настоящая Политика устанавливает:
цели обработки персональных данных;
классификацию персональных данных и Субъектов персональных данных;
общие принципы обработки персональных данных;
основных участников системы управления процессом обработки персональных данных;
основные подходы к системе управления процессом обработки персональных данных.
- Положения настоящей Политики являются основой для организации работы по обработке персональных данных в Центре, в том числе, для разработки локальных нормативных правовых актов (регламентов, методик, технологических схем и пр.), регламентирующих процесс обработки персональных данных в Центре.
- Требования настоящей Политики являются обязательными дляисполнения всеми работниками Центра, как штатных, так и внештатных, имеющими доступ к персональным данным, а также всеми структурными подразделений Центра. Требования Политики применяются также в отношении иных лиц, если необходимо их участие в процессе обработки организацией персональных данных, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений и договоров. Требования Политики распространяются на любые персональные данные, независимо от вида носителя, на котором они зафиксированы.
- Применяемые в настоящей Политике термины используются в следующих значениях:
6.1. Административно-хозяйственная деятельность – процессы внутри Центра, направленные на: текущее обеспечение деятельности Центра товарно-материальными и нематериальными ценностями (осуществление закупок товаров, оборудования, расходных материалов, услуг связи, лицензий на использование объектов интеллектуальной собственности и т.п.); организацию документооборота (ведение архива, баз данных); организацию эксплуатации зданий, помещений, других объектов, территорий (содержание, уборка, оформление и ремонт помещений); организацию рабочего (трудового) процесса;
6.2. оператор обработки персональных данных – Центр, осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия, совершаемые с персональными данными;
6.3. Близкие родственники – родственники по прямой восходящей и нисходящей линии: родители, усыновители (удочерители) и дети (в том числе усыновленные (удочеренные); дедушки, бабушки и внуки; полнородные и неполнородные (имеющие общих отца или мать) братья и сестры; супруг (супруга); вышеуказанные родственники супруга (супруги);
6.4. блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
6.5. Кандидат – физическое лицо, претендующее на вакантную должность в Центре, персональные данные которого получены Центром;
6.6. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
6.7. обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
6.8. персональные данные- любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
6.9. предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
6.10. распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
6.11. специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
6.12. субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
6.13. удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
6.14. физическое лицо, которое может быть идентифицировано - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
ГЛАВА 2
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Центр осуществляет обработку персональных данных в целях:
оказания социальной, медицинской реабилитации и адаптации детей-инвалидов в возрасте от 3 до 18 лет с заболеваниями нервной и костно-мышечной систем, следствием которых является нарушения опорно-двигательного аппарата в соответствии с законодательством Республики Беларусь, Уставом Центра и выданными Центру специальными разрешениями (лицензиями);
заключения и исполнения (при необходимости – также изменения и расторжения) с Субъектом персональных данных любых сделок и их дальнейшего исполнения;
проведения Центром акций, опросов, исследований, иных мероприятий и обеспечения участия в них субъектов персональных данных;
предоставления Субъекту персональных данных информации об оказываемых Центром услугах;
ведения кадровой работы и организации учета работников Центра; привлечения и отбора Кандидатов на работу в Центре, в том числе проверки квалификации и опыта Кандидатов;
регулирования трудовых и иных, непосредственно связанных с ними отношений;
обработка обращений граждан;
формирования статистической и управленческой отчетности, в том числе для предоставления Министерству труда и социальной защиты Республики Беларусь;
осуществления Центром административно-хозяйственной деятельности;
обеспечение пропускного режима на территории Центра;
обеспечение безопасности, сохранения материальных ценностей и предотвращения правонарушений;
иных, не противоречащих законодательству Республики Беларусь.
ГЛАВА 3
КЛАССИФИКАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая Центром для достижения целей, предусмотренных п.7.
- Центр не осуществляет обработку специальных категорий персональных данных, касающихся расовой и этнической (национальной) принадлежности, политических взглядов, религиозных и философских убеждений, частной жизни, если иное не установлено законодательством Республики Беларусь.
- Центр вправе осуществлять обработку специальных категорий персональных данных, касающихся состояния здоровья Субъекта персональных данных (застрахованных лиц и иных лиц в случаях предусмотренных законодательством).
- Центр осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:
несовершеннолетние и их законные представители (родители, усыновители (удочерители), опекуны и попечители);
физические лица, являющиеся Кандидатами;
физические лица, являющиеся работниками и бывшие работники (включая вышедших на пенсию) Центра, и их близкие родственники;
физические лица, с которыми Центр заключил (планирует заключить) договоры гражданско-правового характера;
физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и соответствует требованиям, установленным законодательством о персональных данных;
иные физические лица, выразившие согласие на обработку Банком их персональных данных или физические лица, обработка персональных данных которых необходима Центру для достижения целей, предусмотренных Политикой и законодательством Республики Беларусь.
ГЛАВА 4
ОБЩИЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Центр осуществляет обработку персональных данных на основе общих принципов:
законности заранее определенных конкретных целей и способов обработки персональных данных;
соразмерности заявленным целям их обработки и обеспечении на всех этапах такой обработки справедливого соотношения интересов всех заинтересованных лиц;
способность гарантировать конфиденциальность, целостность, доступность систем, связанных с обработкой персональных данных;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором, стороной которого является Субъект персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных.
- Обработка персональных данных осуществляется Центром после получения согласия субъекта персональных данных на обработку своих персональных данных, информации, составляющей врачебную тайну для одной или нескольких конкретных целей, за исключением случаев, предусмотренных частью третьей настоящего пункта. В случае обработки персональных данных несовершеннолетних детей в возрасте до 16 лет должно быть получено согласие одного из законного представителя ребенка.
Согласие оформляется в виде документа на бумажном носителе по форме согласно приложениям (Приложение 1 и Приложение 2), подписывается субъектом персональных данных или его законным представителем и ответственным работником, осуществляющим обработку таких данных.
Согласие субъекта персональных данных не требуется в следующих случаях:
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;
в целях осуществления контроля (надзора) в соответствии с законодательными актами;
при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
при реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания Республики Беларусь, депутата местного Совета депутатов;
для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
для осуществления нотариальной деятельности;
при рассмотрении вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь;
в целях назначения и выплаты пенсий, пособий;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
при осуществлении учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещения расходов на электроэнергию, платы за другие услуги и возмещения налогов, а также при предоставлении льгот и взыскании задолженности по плате за жилищно-коммунальные услуги, плате за пользование жилым помещением и возмещению расходов на электроэнергию;
при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
в целях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации, организации, осуществляющей издательскую деятельность, направленных на защиту общественного интереса, представляющего собой потребность общества в обнаружении и раскрытии информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде, информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, общественными деятелями, за исключением случаев, предусмотренных гражданским процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом о защите персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
- В рамках обработки персональных данных для Субъекта персональных данных и Центра определены следующие права.
14.1. Субъект персональных данных имеет право:
в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, установленном законодательством о персональных данных;
получать информацию, касающуюся обработки его персональных данных, и изменение персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных;
получать от оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами;
вправе требовать от оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательством о персональных данных;
принимать предусмотренные законом меры по защите своих прав.
- 14.2. Центр имеет право:
обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
обрабатывать общедоступные персональные данные физических лиц;
осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Республики Беларусь;
поручить обработку персональных данных третьему лицу с согласия Субъекта персональных данных, при условии юридических гарантий эффективных средств защиты у третьего лица.
ГЛАВА 5
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ ЦЕНТРА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Контроль за соблюдением законодательства Республики Беларусь и локальных нормативных правовых актов Центра в области обработки персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в каждом структурном подразделении Центра законодательству Республики Беларусь и локальным нормативным правовым актам Центра в области обработки персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов Центра в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных, определения перечня лиц, имеющих допуск к обработке персональных данных, возлагается на руководителей структурных подразделений Центра.
Внутренний контроль за соблюдением законодательства Республики Беларусь и локальных нормативных правовых актов Центра в области обработки персональных данных, в том числе требований к защите персональных данных, осуществляется лицами, ответственными за обработкой персональных данных физических лиц, которые назначаются приказом директора.
ГЛАВА 6
ОРГАНИЗАЦИЯ СИСТЕМЫ УПРАВЛЕНИЯ ПРОЦЕССОМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка персональных данных Субъекта персональных данных осуществляется с его согласия, а также без такого согласия, если Обработка персональных данных необходима для исполнения договора, стороной которого является Субъект персональных данных (для заключения такого договора) или в иных случаях, предусмотренных законодательством о персональных данных.
- Обработка специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных, осуществляется с согласия Субъекта персональных данных на обработку своих персональных данных в письменной форме, а также без такого согласия, если персональные данные сделаны общедоступными Субъектом персональных данных или в иных случаях, предусмотренных законодательством о персональных данных.
- Центр вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено законодательством о персональных данных. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Центром и третьим лицом, в котором должны быть определены:
перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
цели обработки персональных данных;
обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
- Центр осуществляет передачу персональных данных государственным и иным органам (организациям), иным лицам в рамках их полномочий в соответствии с законодательством Республики Беларусь.
- Центр несет ответственность перед Субъектом персональных данных за действия лиц, которым Центр поручает обработку персональных данных Субъекта персональных данных.
- Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Центра, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
- Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законодательством о персональных данных, договором, или согласием Субъекта персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных согласия на обработку его персональных данных, Центр вправе продолжить обработку персональных данных без согласия Субъекта персональных данных, если такая обработка не противоречит законодательству о персональных данных.
- Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством о персональных данных.
- Центр обеспечивает конфиденциальность персональных данных Субъекта персональных данных со стороны своих Работников и иных лиц, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих законодательству о персональных данных и договору, заключенному с Субъектом персональных данных (согласию, предоставленному данным субъектом).
ГЛАВА 7
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
- За нарушение требований настоящей Политики (иных локальных нормативных правовых актов Центра, принятых в развитие ее положений), в том числе касающихся несоблюдения принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных Центр и работники несут гражданско-правовую, административную и иную ответственность в соответствии с законодательством Республики Беларусь.
Приложение 1
к Политике обработки
персональных данных
в государственном учреждении
«Республиканский
реабилитационный центр
для детей-инвалидов»
форма
Согласие на обработку персональных данных
Я, ____________________________________________________________
(фамилия, собственное имя, отчество (если таковое имеется), дата рождения)
документ, удостоверяющий личность:________________________________
серия_________номер___________кем выдан__________________________
______________________________дата выдачи __________________г., идентификационный номер_________________________________________
проживающий по адресу:___________________________________________
адрес электронной почты, контактный номер телефона:_______________ _______________________________________________________________
даю свое согласие государственному учреждению «Республиканский реабилитационный центр для детей-инвалидов», находящемуся по адресу: 220049, г. Минск, ул. Севастопольская, 56, УНП 100387426 (далее – Оператор) на внесение и обработку персональных данных и информации, составляющей врачебную тайну, при оформлении реабилитационной карты, индивидуального плана реабилитации, информационных систем, информационных ресурсов, баз (банков) данных, ресурсов (регистров) и иных документов в целях оказания социальной, медицинской реабилитации и адаптации в отношении___________________________________________ _______________________________________________________________
(фамилия, собственное имя, отчество (если таковое имеется), дата рождения) (заполняется в случае дачи согласия законным представителем несовершеннолетнего лица)
Обработка персональных данных может осуществляться как автоматизированным, так и неавтоматизированным способом.
Мне разъяснены права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи мною согласия или отказа в даче такого согласия.
Я ознакомлен(а) с тем, что:
согласие на обработку персональных данных действует с даты его подписания до достижения целей обработки персональных данных;
согласие на обработку персональных данных может быть отозвано путем подачи письменного заявления.
__.__.20__ ________ ____________________
Работник оператора (подпись) (расшифровка подписи)
________ ____________________
(подпись) (расшифровка подписи)
Приложение 2
к Политике обработки
персональных данных
в государственном учреждении
«Республиканский
реабилитационный центр
для детей-инвалидов»
форма
Согласие на обработку персональных данных
Я, ____________________________________________________________
(фамилия, собственное имя, отчество (если таковое имеется), дата рождения)
документ, удостоверяющий личность:________________________________
серия_________номер___________кем выдан__________________________
______________________________дата выдачи __________________г., идентификационный номер_________________________________________
проживающий по адресу:___________________________________________
адрес электронной почты, контактный номер телефона:_______________ _______________________________________________________________
даю свое согласие государственному учреждению «Республиканский реабилитационный центр для детей-инвалидов», находящемуся по адресу: 220049, г. Минск, ул. Севастопольская, 56, УНП 100387426 (далее – Оператор) на внесение и обработку моих персональных данных в целях _______________________________________________________________
_______________________________________________________________
Обработка персональных данных может осуществляться как автоматизированным, так и неавтоматизированным способом.
Мне разъяснены права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи мною согласия или отказа в даче такого согласия.
Я ознакомлен(а) с тем, что:
согласие на обработку персональных данных действует с даты его подписания до достижения целей обработки персональных данных;
согласие на обработку персональных данных может быть отозвано путем подачи письменного заявления.
__.__.20__ ________ ____________________
Работник оператора (подпись) (расшифровка подписи)
________ ____________________
(подпись) (расшифровка подписи)