Закон Республики Беларусь 7 мая 2021 года № 99-3  

О защите персональных данных.

Закон Республики Беларусь 10 ноября 2008 года № 455-3  

Об информации, информатизации и защите информации.

Согласие на обработку персональных данных

В соответствии со статьей5 Закона Республики Беларусь от 7 мая 2021 г. №  99-З ”О защите персональных данных“даю согласие _________________

на обработку моих персональных данных:

Цель___________________________________________

(цель обработки персональных данных)

Объем: _______________________________________________

(перечень персональных данных, на обработку которых дается согласие)

Цель_________________________________________

(цель обработки персональных данных)

Объем: _______________________________________________

(перечень персональных данных, на обработку которых

 дается согласие)

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных:

__________________________________________________________________

Информация об уполномоченных лицах:

__________________________________________________________________

(в случае, если обработка персональных данных осуществляется такими лицами)

Срок согласия __________________________________________________________________

(срок, на который предоставляется согласие)

Мне разъяснены права, связанные с обработкой персональных данных, механизм их реализации прав, а также последствия дачи мною согласия или отказа в даче такого согласия.

Права субъектов

Основные права субъекта персональных данных

Субъекты персональных данных в соответствии с  Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) наделены широким кругом прав. Права субъекта персональных данных являются действенным инструментом контроля за обработкой принадлежащих ему персональных данных.

Соответствующие права принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).

Основные права субъектов персональных данных закреплены в Законе. К ним относятся:

право на отзыв согласия;

право на получение информации, касающейся обработки персональных данных;

право требовать внесения изменений в персональные данные;

право на получение информации о предоставлении персональных данных третьим лицам;

право требовать прекращения обработки персональных данных и (или) их удаления;

право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;

право на возмещение морального вреда.

Реализация прав субъекта персональных данных

Права субъекта персональных данных реализуются путем подачи заявления оператору. В случае направления заявления субъекта персональных данных для реализации своих прав уполномоченному лицу, последний не обязан отвечать на данный запрос. Вместе с тем, ответ уполномоченным лицом на заявление субъекта персональных данных не будет противоречить законодательству о персональных данных.

Порядок подачи заявления субъектом персональных данных оператору установлен в статье 14 Закона.

Для реализации прав, предусмотренных статьями 10 – 13 Закона, субъекту персональных данных необходимо подать оператору заявление в письменной форме либо в виде электронного документа.

Заявление субъекта персональных данных должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись либо электронную цифровую подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

Срок ответа на заявление зависит от реализуемого субъектом персональных данных права (часть первая пункта 2 статьи 10, пункт 2, часть вторая пункта 4 статьи 11, пункт 2 статьи 12, часть первая пункта 2 статьи 13 Закона):

1.Куки (англ. cookies) являются текстовым файлами, сохраненными на компьютере (мобильном устройстве) пользователя интернет-сайтов [«название организации»] (далее - Сайт, Сайты) при их посещении для отражения совершенных действий. Эти файлы позволяют не вводить заново или выбирать те же параметры при повторном посещении Сайта, например, выбор языковой версии.

Целью обработки куки является обеспечение удобства пользователей Сайтов и повышение качества их функционирования.

2. На Сайтах обрабатываются следующие типы куки:

• необходимые (технические) - нужны для функционирования корректной работы сайта;
• функциональные - позволяют обеспечить индивидуальный опыт использования сайта и устанавливаются в ответ на действия субъекта персональных данных;
• статистические (аналитические) - позволяют хранить историю посещений страниц сайта в целях повышения качества его функционирования, чтобы определить наиболее и наименее популярные страницы.

3. Обрабатываемые на Сайтах куки и сроки их хранения:

* - Названия и количество куков-файлов определяется данными сервисами самостоятельно и могут изменяться.

4. В рамках обеспечения полноценного функционирования Сайта и повышения качества его работы к обработке куков-файлов могут допускаться следующие сторонние организации:

Google Inc. (юридический адрес: 1600 Amphitheatre Parkway, Mountain View, CA 94043, США) с целью обеспечения сохранения выбора языка при переключении между страницами сайта Сайта и идентификации пользователя в сервисах Google;

ООО «Яндекс» (юридический адрес: Российская Федерация, 119021, г. Москва, ул. Л. Толстого, 16) с целями:

• обеспечения сохранения выбора языка при переключении между страницами сайта Сайта и идентификации пользователя в сервисах Яндекса;
• обеспечения работы поиска по Сайту и идентификации пользователя в сервисах Яндекса;
• сбора информации о поведении пользователей на Сайте и идентификации пользователя в сервисах Яндекса.

Указанным организациям на основании согласия пользователя Сайта может осуществляется трансграничная передача информации, собранной при помощи куков-файлов.

При этом Google Inc. имеет юридический адрес в государстве США, на территории которого не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определяется Национальным центром защиты персональных данных.

5. Пользователи могут принять или отклонить все обрабатываемые на Сайтах куки, кроме необходимых.
Отключение функциональных куки может привести к ограничению пользователя в доступе к определенным функциональным возможностям Сайта.

Отключение статистических куки не позволяет определять предпочтения пользователей Сайта, в том числе наиболее и наименее популярные страницы и принимать меры по совершенствованию работы Сайта исходя из предпочтений пользователей.

6. Сайт сохраняет выбор пользователя о настройках куков-файлов в течение 1 (одного) года. По окончании этого периода Сайт вновь запросит у пользователя Сайта сделать выбор настроек куков-файлов.

Вместе с тем пользователи вправе изменить свой выбор настроек куки (в том числе отозвать согласие) в любое время в интерфейсе Сайта путем нажатия кнопки "Настройка обработки cookie"   размещенную в нижнем левом углу сайта.

7. Помимо настроек куки на Сайте субъекты персональных данных могут принять или отклонить сбор всех или некоторых куки в настройках своего браузера.

При этом некоторые браузеры позволяют посещать интернет-сайты в режиме ”инкогнито“, чтобы ограничить хранимый на компьютере объем информации и автоматически удалять сессионные куки. Кроме того, субъект персональных данных может удалить ранее сохраненные куки, выбрав соответствующую опцию в истории браузера.

1. Настоящая Политика определяет порядок организации системы видеонаблюдения в Учреждении образования.

Примечание

         Использование систем видеонаблюдения неразрывно связано с обработкой персональных данных лиц, попадающих в поле зрения объективов видеокамер. Учитывая многоуровневый характер системы видеонаблюдения, существующей в учреждениях дошкольного и общего среднего образования (далее, если не определено иное, — Учреждение образования), этим учреждениям особенно важно обеспечить разработку и в дальнейшем поддержание в актуальном состоянии документа, определяющего политику в отношении видеонаблюдения (далее – Политика).

Политика утверждается приказом руководителя (директора, заведующего) Учреждения образования.

Этим приказом, в частности, может быть определено лицо, на которое будут возложены функции по обеспечению функционирования системы видеонаблюдения и обработке видеозаписей, их хранению и уничтожению. Это не обязательно должно быть лицо, ответственное за осуществление внутреннего контроля (таким лицом, например, может выступать администратор системный, делопроизводитель и др.).

Соответствующие положения также должны быть отражены в разработанном (утвержденном) в Учреждении образования порядке доступа к персональным данным.

1. Политика разработана с целью разъяснения субъектам персональных данных целей обработки их изображений, зафиксированных на камеру(ы) видеонаблюдения, установленную(-ые) в Учреждении образования, иотражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
2. В Учреждении образования видеонаблюдение ведется припомощи камер открытого видеонаблюдения.

Примечание

Ведение скрытого видеонаблюдения возможно только в случаях и порядке, прямо предусмотренных законодательными актами (например, для целей осуществления оперативно-розыскной деятельности в соответствии с требованиями Закона Республики Беларусь от 15 июля 2015 № 307-З ”Об оперативно-розыскной деятельности“). В этой связи в Учреждениях образования видеонаблюдение может осуществляться только открыто.

Кроме того, пунктом 2 статьи 4 Закона Республики Беларусь от 7 мая 2021 г.  № 99-З ”О защите персональных данных“ (далее – Закон о персональных данных) установлены требования соразмерности и справедливости при обработке персональных данных. Так, в частности, определено, что обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.

В этой связи в ряде случаев использование видеонаблюдения в режиме 24/7 (круглосуточно и непрерывно) не требуется для достижения целей, для которых камеры видеонаблюдения в действительности были установлены.

Например, изучение практики организации видеонаблюдения показывает, что в отдельных Учреждениях образования видеонаблюдение устанавливается, в том числе для целей проведения руководством Учреждения образования личного приема граждан.

Так, пунктом 6 статьи 6 Закона Республики Беларусь от 18 июля 2011 г. № 300-З ”Об обращениях граждан и юридических лиц“ предусмотрено, что при проведении личного приема по решению руководителя организации могут применяться технические средства (аудио- и видеозапись, кино- и фотосъемка), о чем заявитель должен быть уведомлен до начала личного приема. Очевидно, что видеонаблюдение для указанных целей посредством камер видеонаблюдения, установленных, например, в кабинете директора школы (гимназии) или заведующего детским садом, может осуществляться только при непосредственном проведении ими личного приема, в связи с чем запись может производиться только в определенный промежуток времени.

Учитывая изложенное, общая информация об организации видеонаблюдения в Учреждении образования, указанная в пункте 3 настоящей Политики должна соответствовать характеристикам системы видеонаблюдения, установленной в конкретном Учреждении образования.

Субъекты персональных данных информируются об осуществлении видеонаблюдения в конкретных местах путем размещения специальных информационных табличек в зонах видимости видеокамер.

Примечание

Размещение специальных табличек с информацией о том, что в помещении Учреждения образования ведется видеонаблюдение, является хорошей практикой, поскольку способствует обеспечению реализации принципа прозрачности процесса обработки персональных данных субъектов.

1. Политика доводится до сведения субъектов персональных данных (работников оператора, обучающихся, их законных представителей, посетителей и других лиц) путем ее размещения на официальном сайте Учреждения образования.

Примечание

На основании пункта 4 статьи 17 Закона о персональных данных оператор (уполномоченное лицо), являющийся юридическим лицом Республики Беларусь, иной организацией, индивидуальным предпринимателем, обязан обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки.

Обозначенное требование распространяется в том числе и на Учреждения образования.

Информацию о месте расположения (опубликования) Политики целесообразно разместить на специальных табличках, упомянутых в пункте 3 настоящей Политики. Для целей обеспечения прозрачности обработки персональных данных субъектов хорошей практикой может выступать нанесение QR-кода, использование (сканирование) которого позволяет субъектам персональных данных оперативно перейти на соответствующую страницу на сайте Учреждения образования.

1. В Учреждении образования видеонаблюдение

5.1. осуществляется для целей:

5.1.1. для охраны имущества и физических лиц и организации пропускной системы в соответствии с Законом Республики Беларусь от 8 ноября 2006 г. № 175-З ”Об  охранной деятельности в Республике Беларусь“ и иными актами законодательства в сфере охранной деятельности;

5.1.2. проведения личного приема граждан в соответствии с пунктом 6 статьи 6 Закона Республики Беларусь от 18 июля 2011 г. № 300-З ”Об обращениях граждан и юридических лиц“[1].

Примечание

Согласие субъекта персональных данных на обработку персональных данных в указанных случаях не требуется на основании абзаца двадцатого статьи 6 и абзаца семнадцатого пункта 2 статьи 8 Закона. При этом обрабатываемые персональные данные не должны быть избыточными по отношению к цели их обработки.

5.2. не используется для:

5.2.1. учета фактически отработанного работниками Учреждения образования рабочего времени;

Примечание

В соответствии с пунктом 2 статьи 4 Закона о персональных данных обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.

Соразмерность в контексте этой нормы следует рассматривать как разумное и достаточное соотношение цели обработки персональных данных и используемых средств для ее осуществления, которое должно оцениваться на всех этапах обработки персональных данных, в том числе при принятии решения о ее осуществлении.

Так, при выборе способа обработки персональных данных оператору следует рассматривать вопрос о том, возможно ли достижение заявленной цели иными способами, без использования персональных данных или предусматривающими меньшее вмешательство в частную жизнь граждан и их персональные данные.

Таким образом, учет явки работников учреждения образования на работу и ухода с нее может быть успешно организован с использованием карточной системы без использования специально для этих целей системы видеонаблюдения.

5.2.2. уникальной идентификации лиц, изображенных на видеозаписи;

Примечание

Обработка изображений посетителей учреждений образования для видеораспознавания лиц (уникальной идентификации) при организации пропускной системы не допускается. Такая обработка не соответствует требованиям, предусмотренным статьей 4 Закона, в том числе требованию о необходимости справедливого соотношения интересов всех заинтересованных лиц при обработке персональных данных. Так, принимая во внимание категорию персональных данных (специальные персональные данные), такая обработка может осуществляться лишь в тех случаях, когда иными способами нельзя достичь цели, закрепленной в законодательстве.

5.2.3. записи звука.

Примечание

Аудиозапись является самостоятельным видом обработки персональных данных, для которой необходимы соответствующие правовые основания.

Как уже отмечалось, в отдельных случаях право осуществлять аудиозапись напрямую предусматривается нормами законодательства. Например, на основании пункта 6 статьи 6 Закона Республики Беларусь от 18 июля 2011 г. № 300-З ”Об обращениях граждан и юридических лиц“ осуществление аудиозаписи допускается при ведении личного приема граждан.

1. Видеонаблюдение не ведется:

в учебных классах;

в помещениях пребывания воспитанников учреждения дошкольного образования, в том числе комнатах отдыха (спальнях);

в местах и помещениях, предназначенных для личных нужд воспитанников, обучающихся, работников, и иных лиц (столовые (места приема пищи), раздевалки, туалеты и т.д.).

Примечание

Приведенный в пункте 6 перечень мест, где видеонаблюдение не ведется, не является исчерпывающим в связи с возникновением риска вторжения в частную жизнь обучающихся и работников. В Политике необходимо определить и другие места, где в Учреждении образования видеонаблюдение не осуществляется. Например, в кабинете социального педагога, педагога-психолога и т.д.

Распространение получила практика размещения в Учреждениях образования видеокамер в местах, открытых для общего доступа (холлы, фойе, коридоры, лестничные пролеты между этажами и т.п.). При принятии решения об оборудовании тех или иных мест и (или) помещений системами видеонаблюдения важно понимать, что на Учреждения образования, которые по смыслу Закона о персональных данных выступают операторами, возлагается обязанность по исключению избыточной обработки персональных данных.

1. Также на территории Учреждения образования установлены видеокамеры для целей обеспечения общественной безопасности и общественного порядка в соответствии Указом Президента Республики Беларусь от 28 ноября 2013 г. № 527 ”О вопросах создания и применения системы видеонаблюдения в интересах обеспечения общественного порядка“ (далее – Указ № 527), постановлениями Совета Министров Республики Беларусь от 11 декабря 2012 г. № 1135 ”Об утверждении Положения оприменении систем безопасности и систем видеонаблюдения“, от 30 декабря 2013 г. № 1164 ”О критериях отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности“.

Примечание

Использование системы видеонаблюдения предусмотрено в случае отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности. Так, в развитие Указа № 527 постановлением Совета Министров Республики Беларусь от 30 декабря 2013 г. № 1164 ”О критериях отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности“ установлены критерии отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видеонаблюдения за состоянием общественной безопасности.

К таким критериям, в частности, отнесено размещение на объекте учреждений образования.

В случае, если в Учреждении образования установлено видеонаблюдение для других целей (в том числе другими операторами), для обеспечения прозрачности обработки персональных данных соответствующую информацию также следует отразить в Политике.

Примечание

Учреждения образования не имеют доступа к записям видеокамер, установленным для обозначенных целей. В таком случае видеонаблюдение в указанных случаях конкретным Учреждением образования не осуществляется. Вместе с тем, указание в тексте Политики соответствующей информации необходимо для обеспечения прозрачности осуществляемой на территории Учреждения образования обработки персональных данных субъектов.

8.Срок хранения видеозаписей составляет 30 дней, по истечении которого происходит их удаление/автоматическое удаление.

Если получена информация о возможной фиксации камерами видеонаблюдения ситуации, имеющей признаки совершения дисциплинарного проступка, административного правонарушения, преступления, по устному/письменному поручению директора Учреждения образования (лица, исполняющего его обязанности) для таких видеозаписей срок хранения может быть продлен на период проведения соответствующих мероприятий.

9.Видеозаписи не могут быть использованы работниками в личных и иных целях, не связанных с использованием трудовых (служебных) обязанностей.

10.Субъект персональных данных имеет право:

10.1. на получение информации, касающейся обработки своих персональных данных Учреждением образования, содержащей:

• сведения о наименовании и месте нахождения Учреждения образования;
• подтверждение факта обработки персональных данных субъекта персональных данных в Учреждении образования;
• его персональные данные и источник их получения;
• правовые основания и цели обработки персональных данных;
• иную информацию, предусмотренную законодательством;

10.2. на получение от Учреждения образования информации о предоставлении своих персональных данных, обрабатываемых в Учреждении образования, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;

10.3. на обжалование действий (бездействия) и решений Учреждения образования, нарушающих его права при обработке персональных данных, в Национальный центр по защите персональных данных Республики Беларусь, в суд в порядке, установленном гражданским процессуальным законодательством.

11. Для реализации своих прав, связанных с обработкой изображения субъекта персональных данных, зафиксированного камерами видеонаблюдения, расположенными в Учреждении образования, субъект персональных данных подает в Учреждение образованиязаявление в письменной форме (почтой/нарочно) или в виде электронного документа.

Такое заявление должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.

В связи с тем, что в Учреждении образования видеонаблюдение не используется для уникальной идентификации лиц, изображенных на видеозаписи, а срок хранения видеозаписей составляет 30 дней, если иное не определено в части второй пункта 8 настоящей Политики, изложение сути требований субъекта персональных данных о предоставлении ему информации, касающейся обработки его персональных данных должно содержать дату, время (период времени) и место записи изображения субъекта персональных данных. Период времени определяется в пределах часового интервала.

12. Учреждение образованияне рассматривает заявления субъектов персональных данных:

12.1. не соответствующие требованиям пункта 11 настоящей Политики, в том числе направленные иными способами (e-mail, телефон, факс и т.п.).

12.2. в отношении обработки персональных данных для целей, определенных пунктом 7 настоящей Политики.

13. За содействием в реализации прав, связанных с обработкой персональных данных в Учреждении образования, субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Учреждении образования.

[1] В случае, если такое решение принято руководителем Учреждения образования.