О примерных формах документов в сфере защиты персональных данных
Национальным центром защиты персональных данных (далее – Центр) в целях оказания методологической помощи по приведению деятельности учреждений дошкольного и общего среднего образования в соответствие с Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) разработан пакет примерных документов по реализации обязательных мер по обеспечению защиты персональных данных в этих учреждениях (прилагаются).
В частности, Центром подготовлены:
реестр обработки персональных данных в учреждении дошкольного образования;
реестр обработки персональных данных в учреждении общего среднего образования;
политика в отношении обработки персональных данных в учреждении дошкольного, общего среднего образования;
политика видеонаблюдения для учреждений дошкольного, общего среднего образования;
формы согласия на обработку персональных данных обучающегося, законного представителя обучающегося, работника учреждения образования.
Одновременно полагаем необходимым обратить внимание на следующее.
1. Перечисленные документы являются примерными, и при их использовании учреждениям образования необходимо адаптировать содержащуюся в них информацию применительно к конкретному учреждению с учетом возможных особенностей его деятельности, в том числе в части определения правовых оснований обработки персональных данных, сроков их хранения и с учетом нормативной правовой базы, регулирующей деятельность этих учреждений.
2. В реестры обработки персональных данных не включены процессы обработки персональных данных, связанные с трудовой деятельностью.
Примерные процессы обработки персональных данных, связанные с такой деятельностью, содержатся в реестре обработки персональных данных (примеры), размещенном на официальном сайте Центра в рубрике ”Методологические документы“ (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/).
3. В соответствии с пунктом 4 статьи 17 Закона оператор обязан обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику оператора в отношении обработки персональных данных, до начала такой обработки.
Цель издания политики в отношении обработки персональных данных – это обеспечение принципа прозрачности обработки персональных данных, предоставление субъектам персональных данных информации об обработке их персональных данных, чтобы исключить неосведомленность субъекта персональных данных относительно действий с его персональными данными.
В этой связи в разработанные Центром примерные политики в отношении обработки персональных данных включены процессы обработки персональных данных в отношении «внешнего контура» (воспитанники, обучающиеся, их законные представители и т. п.). Данные политики во исполнение пункта 4 статьи 17 Закона должны быть размещены на официальных сайтах учреждений образования. При этом при их опубликовании необходимо обеспечить быстрый поиск субъектами персональных данных необходимой информации (на странице не ниже второго уровня в форме, удобной для прочтения, в том числе с использованием уровнего раскрытия информации применительно к целям обработки персональных данных).
Справочно.
В качестве примера размещения политики в отношении обработки персональных данных на сайте оператора может быть рассмотрено размещение политики в отношении обработки персональных данных на официальном сайте Центра (https://cpd.by/politika-konfidentsialnosti/).
Кроме того, на сайте учреждения образования должны быть размещены:
политика в отношении обработки cookie;
политика видеонаблюдения.
Что касается обработки персональных данных работников учреждения образования, то в целях исключения перегрузки общей политики в отношении обработки персональных данных, размещаемой на сайте учреждения образования, и с учетом процессов обработки персональных данных данной категории субъектов («внутренний контур» организации) целесообразно составлять отдельную политику обработки персональных данных в трудовых отношениях.
При этом необходимость в размещении такого документа в открытом доступе для неограниченного круга лиц отсутствует. В данном случае допустимо опубликовать соответствующий документ на корпоративном портале (при его наличии), а также разместить на информационных стендах в учреждении образования.
4. Перечень целей обработки персональных данных, на которые необходимо получать согласие субъекта персональных данных, отраженный в прилагаемых формах согласия на обработку персональных данных обучающегося, законного представителя обучающегося, работника учреждения образования, не является исчерпывающим.
Учреждениям образования следует дополнительно проанализировать случаи обработки персональных данных, требующие получения согласия субъектов персональных данных, в том числе с учетом процессов обработки, включенных в реестры обработки персональных данных, и, при необходимости, включить их в соответствующую форму согласия.
При этом необходимо руководствоваться в том числе рекомендациями Центра о применении Закона в сфере образования, а в отношении обработки персональных данных работников также Рекомендациями об обработке персональных данных в связи с трудовой (служебной) деятельностью. Данные рекомендации размещены на официальном сайте Центра в рубрике ”Методологические документы“ (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/).
5. С примерными формами иных документов, необходимых для реализации обязательных мер по обеспечению защиты персональных данных, предусмотренных пунктом 3 статьи 17 Закона, можно ознакомиться на официальном сайте Центра в рубрике ”Портфель оператора“ (https://cpd.by/pravovaya-osnova/portfel-operatora/).
Просим провести дополнительный анализ представленных документов на предмет их соответствия правоприменительной практике.
После соответствующей проработки просим до 30.06.2024 внести в Министерство образования предложения по доработке документов по защите персональных данных.
Приложения: на 58 л.
Заместитель Министра А.В.Кадлубай
Примерная политика в отношении обработки персональных данных
для УОСО, УДО
(по состоянию на 1 апреля 2024 г.)
1. Общие положения
1.1. Учреждение образования уделяет внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных. Настоящая Политика является одной из принимаемых учреждением образования мер по защите персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).
Юридический и почтовый адрес учреждения образования (оператор):
___________________________________________________________
адрес в сети Интернет: _______________________________________
e-mail: _____________________________________________________
1.2. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации. Политика не применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников и бывших работников), при видеонаблюдении, а также при обработке cookie-файлов на интернет-сайте учреждения образования.
Справочно.
Оператором может быть разработана либо одна общая Политика в виде отдельного (самостоятельного) документа, либо несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора порядок обработки персональных данных в определенных сферах или в связи с определенными процессами. В случае, если принято решение о разработке нескольких политик, таковыми могут выступать:
политика в отношении обработки персональных данных при осуществлении учреждением образования функций, возложенных на него законодательством об образовании;
политика в отношении обработки персональных данных в процессе трудовой деятельности;
политика видеонаблюдения;
политика в отношении обработки cookie-файлов на интернет-сайте учреждения образования.
1.3. В настоящей Политике используются термины и их определения в значении, определенном Законом.
1.4. Учреждение образования осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки.
2. Цели, категории субъектов персональных данных, чьи данные подвергаются обработке, перечень обрабатываемых персональных данных, правовые основания и сроки обработки персональных данных
2.1. Учреждение образования осуществляет обработку персональных данных субъектов персональных данных определенных категорий субъектов персональных данных в объеме, на правовых основаниях и в сроки применительно к каждой цели согласно приложению 1 к настоящей Политике.
Справочно.
В приложении 1 к настоящей Политике размещаются цели, объем, правовые основания и сроки обработки персональных данных учреждением образования соответствующего уровня.
2.2. Учреждение образования осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.
2.3. Учреждение образования вправе предоставлять персональные данные третьим лицам только при наличии оснований, предусмотренных законодательными актами.
3. Уполномоченные лица[2]. Трансграничная передача персональных данных
3.1. Учреждение образования поручает обработку персональных данных уполномоченным лицам. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению учреждения образования, содержится в приложении 2 к настоящей Политике.
Справочно.
В случае если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в Политике рекомендуется указывать:
наименование и местонахождение уполномоченного лица (уполномоченных лиц) или категории уполномоченных лиц;
основания обработки персональных данных уполномоченным лицом (наличие договора, акта законодательства либо решения государственного органа);
перечень персональных данных, обработка которых поручена уполномоченному лицу (уполномоченным лицам);
перечень действий с персональными данными, осуществляемых уполномоченным лицом (уполномоченными лицами).
На основании подпункта 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2028 г. № 422 “О мерах по совершенствованию защиты персональных данных” операторы, являющиеся государственными органами, юридическими лицами Республики Беларусь, иными организациями, устанавливают и поддерживают в актуальном состоянии перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами.
Анализ складывающейся практики показывает, что для учреждений общего среднего образования такими уполномоченными лицами выступают ОАО ”Белинвестбанк“ (для целей изготовления билета учащегося в г. Минске), организации, предоставляющие услуги хостинга при ведении официального интернет-сайта учреждения образования, организации, предоставляющие сервисы для ведения электронных журналов и дневников учащихся (например, ООО «Образовательные системы» (информационный ресурс schools.by), ООО «ЭдуТехСолюшн» (информационный ресурс Знай.бай), организации, предоставляющие сопутствующие услуги при организации школьного питания (например, СООО «АЙ ПЭЙ», ООО «ЭдуТехСолюшн» и др.)и другие.
В случае отсутствия у учреждения образования уполномоченных лиц, указанный раздел следует исключить из настоящей политики. Такая ситуация, например, может наблюдаться у отдельных учреждений дошкольного образования.
3.2. Учреждение образования осуществляет трансграничную передачу персональных данных для обеспечения непрерывной коммуникации с пользователями социальных сетей и мессенджеров (Вконтакте, Instagram, TikTok, Теlegram, видеохостинг YouTube).
Справочно.
Обращаем внимание, что ведение аккаунтов в социальных сетях и мессенджерах сопряжено с трансграничной передачей персональных данных субъектов (работников, обучающихся, иных лиц).
В соответствии с пунктом 12 Рекомендаций по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, при осуществлении трансграничной передачи персональных данных в Политике отражаются применительно к каждой цели передачи персональных данных:
субъекты (категории субъектов) в иностранных государствах, которым персональные данные могут быть переданы;
страны, на территории которых находятся такие субъекты (категории субъектов);
основания для трансграничной передачи.
В качестве оснований для трансграничной передачи персональных данных могут быть указаны:
основания, предусмотренные пунктом 3 статьи 4, статьей 6, пунктом 2 статьи 8 Закона (в случае передачи персональных данных в иностранные государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных);
основания, предусмотренные пунктом 1 статьи 9 Закона (в случае передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).
Кроме того, в Политике указывается, отнесены ли страны, в которые планируется осуществлять трансграничную передачу персональных данных, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.
Перечень стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14.
4. Права субъектов персональных данных
4.1. Субъект персональных данных имеет право:
4.1.1. на получение информации, касающейся обработки своих персональных данных учреждением образования, содержащей:
- сведения о наименовании и месте нахождения учреждения образования;
- подтверждение факта обработки персональных данных субъекта персональных данных в учреждении образования;
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано согласие;
- наименование и место нахождения уполномоченных лиц, если обработка персональных данных поручена таким лицам;
- иную информацию, предусмотренную законодательством;
4.1.2. на получение от учреждения образования информации о предоставлении своих персональных данных, обрабатываемых в учреждении образования, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
4.1.3. на обжалование действий (бездействия) и решений учреждения образования, нарушающих его права при обработке персональных данных, в Национальный центр защиты персональных данных Республики Беларусь.
4.2. Для реализации своих прав субъект персональных данных подает в учреждение образования заявление в письменной форме (почтой/нарочно) или в виде электронного документа, а в случае реализации права на отзыв согласия – в форме, в которой оно было получено.
Такое заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
4.3. Учреждение образования не рассматривает заявления субъектов персональных данных, не соответствующие требованиям пункта 5.2 настоящей Политики, в том числе направленные иными способами (e-mail, телефон, факс и т.п.).
4.4. За содействием в реализации прав, связанных с обработкой персональных данных в учреждении образования, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в учреждении образования, по телефону: 000-00-00.
Приложение 1
Цели, объем, правовые основания и сроки обработки персональных данных учреждением образования
| № п/п | Цель обработки | Категории лиц | Категории данных | Правовая основа | Срок хранения |
Приложение 2
Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению учреждения образования
| № п/п | Уполномоченное лицо | Местонахождение уполномоченного лица | Информационный ресурс (система) | Цель обработки |
[1] Далее по тексту – учреждение образования
[2] В случае, если учреждение образования поручает обработку персональных данных уполномоченным лицам.
Согласие законного представителя на обработку персональных данных несовершеннолетнего
| Я | ||
| (фамилия, собственное имя, отчество (если таковое имеется) законного представителя несовершеннолетнего) | ||
| _____________________________________________________________________________ | ||
В соответствии со статьей 5 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ даю согласие _________________
| Я | Сведения об учреждении образования | |
| (наименование и место нахождения оператора) | ||
на обработку персональных данных моего несовершеннолетнего ребенка
фамилия, собственное имя, отчество (если таковое имеется), дата рождения
| Согласен | Не согласен |
Цель публикация фото- и видеоизображения обучающегося, иной информации о нем на сайте учреждения образования в рамках новостного контента
Объем: фамилия, собственное имя, отчество (если таковое имеется) обучающегося, класс, фотоизображение, видеоизображение, иная информация об обучающемся, сопровождающая публикацию
(перечень персональных данных, на обработку которых дается согласие)
| Согласен | Не согласен |
Цель публикация фото- и видеоизображения обучающегося, иной информации о нем в социальных сетях, мессенджерах учреждения образования в рамках новостного контента
Объем: фамилия, собственное имя, отчество (если таковое имеется) обучающегося, класс, фотоизображение, видеоизображение, иная информация
об обучающемся, сопровождающая публикацию
(перечень персональных данных, на обработку которых дается согласие)
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных:
Сбор, использование, распространение информации об обучающемся в рамках новостного контента учреждения образования в сети Интернет.
В случаях размещения информации в социальных сетях и мессенджерах учреждения образования осуществляется трансграничная передача персональных данных обучающегося.
Информация об уполномоченных лицах:
__________________________________________________________________
(в случае, если обработка персональных данных осуществляется такими лицами)
Срок согласия: на период обучения в учреждении образования
(срок, на который предоставляется согласие)
Мне разъяснены права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи мною согласия или отказа в даче такого согласия.
| __________________ | ||
| (дата) | (подпись) |
Согласие на обработку персональных данных
| Я | ||
| (фамилия, собственное имя, отчество (если таковое имеется) обучающегося) | ||
| _____________________________________________________________________________ | ||
| (дата рождения)) | ||
В соответствии со статьей 5 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ даю согласие _________________
| Я | Сведения об учреждении образования | |
| (наименование и место нахождения оператора) | ||
на обработку моих персональных данных:
| Согласен | Не согласен |
Цель публикация фото- и видеоизображения обучающегося, иной информации о нем на сайте учреждения образования в рамках новостного контента
Объем: фамилия, собственное имя, отчество (если таковое имеется) обучающегося, класс, фотоизображение, видеоизображение, иная информация об обучающемся, сопровождающая публикацию
(перечень персональных данных, на обработку которых дается согласие)
| Согласен | Не согласен |
Цель публикация фото- и видеоизображения обучающегося, иной информации о нем в социальных сетях, мессенджерах учреждения образования в рамках новостного контента
Объем: фамилия, собственное имя, отчество (если таковое имеется) обучающегося, класс, фотоизображение, видеоизображение, иная информация
об обучающемся, сопровождающая публикацию
(перечень персональных данных, на обработку которых дается согласие)
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных:
Сбор, использование, распространение информации об обучающемся в рамках новостного контента учреждения образования в сети Интернет.
В случаях размещения информации в социальных сетях и мессенджерах учреждения образования осуществляется трансграничная передача персональных данных обучающегося.
Информация об уполномоченных лицах:
__________________________________________________________________
(в случае, если обработка персональных данных осуществляется такими лицами)
Срок согласия на период обучения в учреждении образования
(срок, на который предоставляется согласие)
Мне разъяснены права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи мною согласия или отказа в даче такого согласия.
| __________________ | ||
| (дата) | (подпись) |
[1] Приведенный перечень целей не является исчерпывающим. Учреждение образование в каждом конкретном случае самостоятельно оценивает необходимость получения согласия для иных целей обработки персональных данных.
Согласие на обработку персональных данных работника учреждения образования
| (фамилия, собственное имя, отчество (если таковое имеется) работника) | ||
| _____________________________________________________________________________ | ||
| (дата рождения)) | ||
В соответствии со статьей 5 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ даю согласие _________________
| Я | Сведения об учреждении образования | |
| (наименование и место нахождения оператора) | ||
на обработку моих персональных данных:
| Согласен | Не согласен |
Цель публикация фото- и видеоизображения работника, иной информации о нем на сайте учреждения образования в рамках новостного контента
Объем: фамилия, собственное имя, отчество, если такое имеется, должность, фотоизображение, видеоизображение, иная информация о работнике, сопровождающая публикацию
(перечень персональных данных, на обработку которых дается согласие)
| Согласен | Не согласен |
Цель публикация фото- и видеоизображения работника, иной информации о нем в социальных сетях, мессенджерах учреждения образования в рамках новостного контента
Объем: фамилия, собственное имя, отчество если такое имеется, должность, фотоизображение, видеоизображение, иная информация
о работнике, сопровождающая публикацию
(перечень персональных данных, на обработку которых дается согласие)
Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных:
Сбор, использование, распространение информации о работнике в рамках новостного контента учреждения образования в сети Интернет.
В случаях размещения информации в социальных сетях и мессенджерах учреждения образования осуществляется трансграничная передача персональных данных работника.
Информация об уполномоченных лицах:
__________________________________________________________________
(в случае, если обработка персональных данных осуществляется такими лицами)
Срок согласия: на период работы в учреждении образования
(срок, на который предоставляется согласие)
Мне разъяснены права, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи мною согласия или отказа в даче такого согласия.
| __________________ | ||
| (дата) | (подпись) |