Положение в отношении обработки персональных данных
УТВЕРЖДЕНО
приказом директора учреждения Музей «Замковый комплекс «Мир» от 12.11.2021 №106 ОС
о политике Учреждения Музей «Замковый комплекс «Мир»
в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Учреждение Музей «Замковый комплекс «Мир» (далее по тексту Музей), выполняя требования статьи 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и с учетом Рекомендаций Национального центра по защите персональных данных по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», публикует в свободном доступе настоящую политику в отношении обработки персональных данных.
1.2. Основные понятия.
1.2.1. Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
1.2.2. Оператор персональных данных, оператор – Музей, самостоятельно или совместно с другими лицами организующее или осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными.
1.2.3. Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
1.2.4. Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
1.2.5. Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
1.2.6. Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
1.2.7. Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
1.3. Субъекты персональных данных имеют право:
1.3.1. на отзыв согласия субъекта персональных данных;
1.3.2. на получение информации, касающейся обработки персональных данных, и изменение персональных данных;
1.3.3. на получение информации о предоставлении персональных данных третьим лицам;
1.3.4. требовать прекращения обработки персональных данных и (или) их удаления;
1.3.5. на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
1.4. Оператор – Музей вправе производить обработку персональных данных без согласия субъекта персональных данных в соответствии с требованиями ст.ст.6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
1.5. Все указанные в настоящей Политике сведения основаны на требованиях Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», Указа Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 10.11.2008 № 455-З "Об информации, информатизации и защите информации".
ГЛАВА 2
ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Музей обрабатывает персональные данные субъектов персональных данных, соблюдая требования законодательства и исключительно в целях трудоустройства, оформления трудовых отношений, получения работниками образования и продвижения по работе, контроля количества и качества выполняемой работы, обеспечения трудовой и исполнительной дисциплины, сохранности имущества, оплаты труда и выплаты вознаграждений, с целью заключения и исполнения авторских договоров и гражданско-правовых договоров, в том числе: на выполнение работ, оказание услуг, приобретение предметов имеющих культурную и историческую ценность.
Любые сведения личного характера – о возрасте, о состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т. д. – Музей обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по законодательству и локальными правовыми актами Музея.
ГЛАВА 3
ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Музей обрабатывает персональные данные субъектов персональных данных в соответствии:
3.1.1. С Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», Указом Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Законом Республики Беларусь от 10.11.2008 № 455-З "Об информации, информатизации и защите информации".
3.1.2. С локальными нормативными правовыми актами, для исполнения которых работники для выполнения трудовых функций получают доступ к персональным данным субъектов.
3.1.3. С целью заключения и исполнения авторских договоров, гражданско-правовых договоров, в том числе: на выполнение работ, оказание услуг, приобретение предметов, имеющих культурную и историческую ценность.
3.1.4. С Трудовыми договорами (контрактами), договорами о материальной ответственности, договорами на обучение, которые Музей заключает с работниками.
3.1.5. С согласиями на обработку персональных данных.
3.1.6. С обязательствами о соблюдении порядка обработки персональных данных.
ГЛАВА 4
ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Музей обрабатывает персональные данные следующих субъектов персональных данных:
4.1.1. Работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников, а также родственников работников.
4.1.2. Клиентов и контрагентов – физических лиц.
4.1.3. Представителей или работников, клиентов и контрагентов – юридических лиц и индивидуальных предпринимателей.
4.1.4. Граждан, выполняющих работу по гражданско-правовым договорам.
4.1.5. Лиц, предоставившие Музею данные при отправке отзывов, обращений, путём заполнения формы «Обратная связь», анкет в ходе проводимых рекламных акций и иных мероприятий.
4.1.6. Лица, предоставившие персональные данные Музею иным образом.
4.2. Музей обрабатывает любые персональные данные работников, бывших работников, кандидатов (соискателей) на замещение вакантных штатных единиц и для исполнения обязанностей временно отсутствующих работников, а также родственников работников в целях оформления трудовых отношений, а также в процессе трудовой деятельности таких субъектов персональных данных в случаях, предусмотренных законодательством.
4.2.1. Персональные данные о работниках и бывших работниках:
- фамилия, собственное имя, отчество, возраст, дата рождения;
- паспортные данные (данные идентификационной карты) или иного документа, удостоверяющего личность физического лица;
- образование, специальность, квалификация, трудовой стаж, опыт работы;
- повышение квалификации, профессиональная подготовка, переподготовка, аттестация;
- занимаемая должность служащего или выполняемая работа по профессии рабочего;
- сведения о воинском учете;
- социальные гарантии и льготы и основания для них;
-состояние здоровья работника, результаты медицинского осмотра, психиатрического освидетельствования;
- адрес места жительства, номер телефона;
4.2.2. Персональные данные о семейном положении работников и членах их семей:
- о наличии брака;
- о наличии детей и иждивенцев;
- состоянии здоровья членов семьи;
- необходимости ухода за больным членом семьи;
- усыновлении и удочерении;
- иных фактах, на основании которых работникам по законодательству и локальным правовым актам Музеем должны быть предоставлены гарантии и компенсации.
4.2.3. Персональные данные клиентов и контрагентов:
• паспортные данные;
• номер телефона;
• адрес электронной почты;
• фамилия, имя, отчество;
• место регистрации и жительства;
• история запросов и просмотров Сайта и услуг Музея;
• иная информация (указанный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).
4.2.4. Музей также может обрабатывать следующие данные субъектов данных (исключительно в случаях, когда это необходимо для достижения целей обработки таких данных, и когда такие данные предоставляются (предоставлены) субъектами данных):
• место проживания;
• дата рождения;
• место работы;
• род занятий (специальность, область профессиональных знаний);
• пол;
• иная информация (указанный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).
4.3. При ведении делопроизводства по обращениям граждан, поступающим Оператору в соответствии с Законом Республики Беларусь от 18 июля 2011 г. № 300-З «Об обращениях граждан и юридических лиц» - подлежат обрабатыванию следующие персональные данные субъекта:
фамилия, собственное имя, отчество (при наличии);
контактные данные (номер телефона, факса, адрес электронной почты);
фотографии;
дата рождения;
информация о документах, удостоверяющих личность (серия, номер, дата выдачи документа);
адрес места жительства, места нахождения.
Для корректной работы услуг Музея, а также анализа работы, Музей обрабатывает такие данные, как:
• любые текстовые сообщения, фотографические и мультимедийные файлы, оставляемые, размещаемые и(или) загружаемые Посетителями и Пользователями Сайта по их собственной инициативе на составных частях Сайта и при оказании Услуг Музея, включая (но не ограничиваясь) комментарии к информационным сообщениям и(или) материалам иных Пользователей.
Музей не осуществляет обработку специальных данных, касающихся расовой, национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных и иных убеждений, здоровья, половой жизни, привлечения к административной или уголовной ответственности, за исключением случаев, когда субъект сам предоставил такие данные Музею, либо они стали известны Музею в соответствии с законодательством Республики Беларусь.
Субъект данных обязан предоставлять Музею достоверные данные и своевременно сообщать Музею об изменениях и дополнениях своих данных.
ГЛАВА 5
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В Музее организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов: по личному составу, контрагентов физических лиц, клиентов, представителей юридических лиц и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
Основанием обработки данных является согласие субъекта данных, за исключением случаев, установленных законодательством Республики Беларусь, когда обработка данных осуществляется без получения такого согласия, а также договорные взаимоотношения между Музеем и субъектом данных.
Согласие субъекта данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих данных.
Отказ субъекта данных дать согласие на обработку своих данных дает Музею право отказать такому субъекту данных в предоставлении доступа в оказании Услуг.
5.2. Способы обработки данных Музея:
• неавтоматизированная обработка данных;
• автоматизированная обработка данных с передачей полученной информации по информационно-телекоммуникационным сетям или без такой передачи;
• смешанная обработка данных.
Хранение данных осуществляется не дольше, чем этого требуют цели обработки данных, кроме случаев, когда определенный срок хранения данных установлен законодательством Республики Беларусь, договором, заключенным (заключаемым) с субъектом данных, в целях совершения действий, установленных этим договором.
5.3. Обработка данных субъектов данных прекращается с:
• достижением целей обработки данных;
• истечением срока обработки данных;
• отзывом согласия субъектом данных на обработку его (ее) данных;
• выявлением неправомерной обработки данных.
При обработке данных Музей принимает необходимые правовые, организационные и технические меры по обеспечению защиты данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления данных, а также от иных неправомерных действий в отношении данных.
5.4. Доступ к персональным данным в Музее имеют только те лица, кому это необходимо для исполнения должностных (трудовых) обязанностей. Работники, получающие доступ к персональным данным, определяются приказом директора Музея. Они проходят процедуру допуска, в процессе которой обучаются методам и способам безопасной обработки персональных данных.
Права, обязанности и ответственность работников, обрабатывающих персональные данные в Музее, закрепляются в их должностных (рабочих) инструкциях и (или) трудовых договорах (контрактах). Они дают отдельное письменное обязательство о соблюдении порядка обработки персональных данных, в т. ч. после увольнения их из Музея.
За нарушение правил обработки персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения по пункту 10 части первой статьи 47 Трудового кодекса Республики Беларусь.
5.5. В случаях, предусмотренных законодательством, в частности предусмотренных статьями 6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», Музей обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях Музей предлагает субъекту персональных данных оформить согласие на обработку персональных данных.
Субъект данных вправе отозвать свое согласие на обработку своих персональных данных: в форме подачи Музею заявления в письменной форме, направленного заказным почтовым отправлением, либо в виде электронного документа (в соответствии с законодательством Республики Беларусь электронным документом считается исключительно документ, подписанный электронной цифровой подписью). Заявление должно содержать:
• фамилию, имя, отчество субъекта данных;
• адрес места жительства (места пребывания);
• дату рождения;
• идентификационный номер или иные паспортные данные (в случае если указывались при даче согласия или обработка данных осуществлялась без согласия субъекта данных);
• изложение сути требования;
• личную или электронную цифровую подпись.
Музей в течение 15 (Пятнадцати) дней с момента получения заявления прекращает обработку персональных данных (если нет оснований для обработки в соответствии с законодательством), осуществляет удаление, при отсутствии технической возможности удаления – принимает меры по недопущению дальнейшей обработки таких данных, включая удаление аккаунтов, и уведомляет об этом субъекта данных в тот же срок.
5.6. Субъект данных вправе требовать от Музея внесения изменений в свои данные в случае, если такие данные являются неполными, устаревшими или неточными. В этих целях субъект данных подает Музею заявление с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в такие данные.
5.7. Субъект данных вправе получать от Музея информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год, если иное не предусмотрено законодательством Республики Беларусь. Для получения указанной информации субъект данных подает заявление Музею.
Музей в течение 15 (Пятнадцати) дней после получения заявления предоставляет субъекту данных информацию о том, какие данные этого субъекта и кому предоставлялись в течение года, предшествующего дате подачи заявления, либо уведомляет о причинах отказа предоставить такую информацию.
5.8. Музей хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
При достижении целей обработки Музей уничтожает персональные данные. Исключения:
- персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
- кандидат на работу желает остаться в кадровом резерве.
5.9. Музей передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством.
5.10. Доступ третьих лиц к данным:
- Музей без согласия субъекта данных не раскрывает третьим лицам и не распространяет такие данные, если иное не предусмотрено законодательством Республики Беларусь.
ГЛАВА 6
АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Музей при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Национального центра по защите персональных данных блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
6.2. Субъект данных вправе требовать от Музея прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки таких персональных данных, посредством подачи заявления.
Музей в течение 15 (Пятнадцати) дней после получения такого заявления прекращает обработку персональных данных (если нет оснований для обработки в соответствии с законодательством), осуществляет их удаление, при отсутствии технической возможности удаления – принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокировку, и уведомляет об этом субъекта данных в тот же срок.
6.3. Музей на основании сведений, представленных субъектом персональных данных или его представителем либо Национального центра по защите персональных данных, или иных необходимых документов уточняет персональные данные в течение 15 дней со дня представления таких сведений.
6.4. В случае выявления неправомерной обработки персональных данных Музей в срок, не превышающий 15 дней, прекращает неправомерную обработку персональных данных.
6.5. В случае достижения цели обработки персональных данных Музей прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий 15 дней с даты достижения цели обработки персональных данных.
6.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Музей прекращает их обработку в срок, не превышающий 15 дней с даты поступления отзыва.
6.7. По запросу субъекта персональных данных или его представителя Музей знакомит его с этими персональными данными в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами.
ГЛАВА 7
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Вопросы, касающиеся обработки данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
7.2. В случае, если какое-либо положение настоящей Политики признается противоречащим законодательству Республики Беларусь, остальные положения Политики остаются в силе и являются действительными, а любое недействительное положение признается удаленным и (или) измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству Республики Беларусь.
7.3. Музей имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного и (или) последующего уведомления субъектов данных. Действующая редакция настоящей Политики доступна по следующему адресу: https://mirzamak.by/
7.4. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.