Государственное учреждение
«Центральная научная библиотека имени Якуба Коласа
Национальной академии наук Беларуси»
УТВЕРЖДЕНО
Приказом директора
ГУ «Центральная научная
библиотека имени Якуба
Коласа Национальной
академии наук Беларуси»
24.06.2022 № 71
ПОЛИТИКА ГУ «ЦЕНТРАЛЬНАЯ
НАУЧНАЯ БИБЛИОТЕКА ИМЕНИ ЯКУБА КОЛАСА
НАЦИОНАЛЬНОЙ АКАДЕМИИ НАУК БЕЛАРУСИ»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Минск, 2022
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки персональных данных (далее — Политика) в Государственном учреждении «Центральная научная библиотека имени Якуба Коласа Национальной академии наук Беларуси» (ЦНБ НАН Беларуси) (далее — Оператор) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, функции работников при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.
1.2. Политика разработана с учётом требований Конституции Республики Беларусь, Закона Республики Беларусь от 07.05.2021 № 99‑З «О защите персональных данных» (далее — Закон № 99‑З) и иных нормативных правовых актов Республики Беларусь в области защиты персональных данных.
1.3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих вопросы обработки и защиты персональных данных работников Оператора и других субъектов персональных данных.
1.4. Действие Политики распространяется на обработку персональных данных следующих категорий субъектов: пользователей Оператора; авторов произведений или иных физических лиц, персональные данные которых используются при формировании информационных ресурсов Оператора; работников Оператора либо лиц, претендующих на трудоустройство; лиц, при заключении гражданско-правовых договоров.
1.5. Для целей данной Политики термины «обработка персональных данных», «персональные данные», «оператор», «субъект персональных данных», «уполномоченное лицо» и др. применяются в значениях, определённых в Законе № 99‑З.
1.6. При организации процессов обработки персональных данных Оператор исходит из необходимости участия всех работников в рамках их должностных обязанностей в сохранности персональных данных и прозрачности при их обработке.
ГЛАВА 2
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор осуществляет обработку персональных данных своих работников и других субъектов персональных данных, не состоящих с Оператором в трудовых отношениях.
2.2. Обработка персональных данных осуществляется с учётом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, на личную и семейную тайну на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- содержание и объём обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных носит прозрачный характер. Субъекту персональных данных предоставляется соответствующая информация, касающаяся обработки его персональных данных;
- Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
- хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2.3. Персональные данные обрабатываются Оператором в целях:
- осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные госорганы;
- ведения кадровой работы и организации учёта работников Оператора и кандидатов на трудоустройство;
- архивного хранения документов;
- регулирования трудовых отношений с работниками Оператора [содействие в трудоустройстве, оформление документов при трудоустройстве (личное дело и др.], обучение и продвижение по службе, формирование резерва кадров, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, направление на медицинский осмотр и др.);
- направления в командировки и иные служебные поездки;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- осуществления административных процедур (выдача справок о заработной плате, о месте работы и др.);
- выпуска доверенностей и иных уполномочивающих документов при представлении интересов Оператора в государственных органах и иных организациях;
- обработка персональных данных в рамках работы комиссий Оператора;
- рассмотрения обращений граждан и работников;
- ведения в пределах компетенции воинского учёта;
- ведения бухгалтерского и налогового учёта, расчёта и выплаты заработной платы (премий и др.), расчёта и выплаты предусмотренных законодательством возмещений по понесённым расходам, компенсаций, обязательного социального страхования, налоговых вычетов и материальной помощи;
- ведения видеонаблюдения для обеспечения защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- обеспечения охраны труда, расследования несчастных случаев на производстве, пожарной безопасности и защиты от чрезвычайных ситуаций;
- обеспечения пропускного и внутриобъектового режимов;
- регистрации в качестве пользователя Оператора и выдачи читательского билета (временного билета читателя);
- идентификации зарегистрированного пользователя на интернет-сайтах Оператора;
- идентификации и авторизации лицензионных информационных ресурсах, предоставления удалённого доступа к ним;
- идентификации и авторизации зарегистрированных пользователей в лицензионных информационных ресурсах, приобретаемых Оператором для предоставления удалённого доступа к ним;
- обеспечения сохранности библиотечных фондов;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
- создания, редактирования, сопровождения и распространения информационных ресурсов (баз данных), содержащих информацию о субъектах персональных данных;
- создания, редактирования и распространения информационной продукции, содержащей персональные данные субъектов;
- организации и проведения научно-исследовательских работ;
- проведения и организации мероприятий, обеспечения участия в них субъектов персональных данных (конференции, семинары, выставки и др.);
- заключения, исполнения и расторжения договоров с контрагентами;
- оказания услуг Оператором (информационные услуги, библиографические услуги и др.);
- размещения в социальных сетях, на интернет-сайтах Оператора результатов фото- и видеосъемки в помещениях Оператора;
- информирования на интернет-сайтах Оператора о работе Оператора;
- редакционно-издательской деятельности;
- иных законных целях.
2.4. Правовыми основаниями при обработке персональных данных являются:
- Трудовой кодекс Республики Беларусь и иные акты законодательства, регулирующие трудовые и связанные с ними отношения;
- законодательство о налогах и бухгалтерском учёте;
- Гражданский кодекс Республики Беларусь и иные акты законодательства, регулирующие вопросы заключения, исполнения и прекращения гражданско-правовых договоров;
- Кодекс Республики Беларусь о культуре;
- локальные правовые акты, регулирующие вопросы формирования информационных ресурсов и обслуживания пользователей;
- иные нормативные правовые акты, относящиеся к деятельности Оператора.
ГЛАВА 3
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ
ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ
К субъектам персональных данных относятся:
- работники Оператора, кандидаты на трудоустройство, а также их близкие родственники и свойственники;
- пользователи Оператора, в том числе пользователи интернет-сайта «Центральной научной библиотеки имени Якуба Коласа Национальной академии наук Беларуси» csl.bas-net.by и иных интернет-сайтов Оператора, информационных ресурсов Оператора, лицензионных информационных ресурсов, приобретаемых Оператором, для предоставления удалённого доступа к ним;
- авторы произведений или иные физические лица, персональные данные которых используются при формировании информационных ресурсов Оператора;
- физические лица при посещении Оператора;
- физические лица, с которыми Оператор заключил (намерен заключить) договоры гражданско-правового характера;
- физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и законных интересов и соответствует требованиям, установленным законодательством о персональных данных;
- локальные правовые акты, иные физические лица, выразившие согласие на обработку Оператором их персональных данных, или физические лица, обработка персональных данных которых необходима Оператору для достижения целей, предусмотренных законодательством (для обеспечения реализации целей обработки, указанных в гл. 2 Политики), регулирующие вопросы формирования информационных ресурсов и обслуживания пользователей.
ГЛАВА 4
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ОБРАБАТЫВАЕМЫХ ОПЕРАТОРОМ
4.1. Содержание и объём персональных данных каждой категории субъектов определяется необходимостью достижения конкретных целей их обработки, а также необходимостью Оператора реализовать свои права и обязанности, а также права и обязанности соответствующего субъекта.
4.2. Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Республики Беларусь, локальными актами, достижением поставленных целей и включает в себя:
- идентификационный номер;
- фамилия, собственное имя, отчество (если таковое имеется);
- пол;
- число, месяц, год рождения;
- место рождения;
- изображение лица (фото, видео);
- данные о гражданстве (подданстве);
- данные о регистрации по месту жительства и (или) месту пребывания;
- о семейном положении, супруге, ребенке (детях) физлица;
- данные об образовании, учёной степени, учёном звании;
- данные медицинского характера;
- номер и серия страхового свидетельства государственного социального страхования;
- телефон мобильный, домашний;
- место учёбы (факультет, курс, форма обучения);
- место работы, должность;
- e‑mail;
- другие.
4.3. Персональными данными является не только информация, прямо идентифицирующая или позволяющая идентифицировать физическое лицо, но и та информация, которая в совокупности с другой имеющейся или доступной информацией с разумной вероятностью может быть использована для идентификации физического лица (e‑mail, cookie, IP‑адрес и пр.).
4.4. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой принадлежности, состояния здоровья, если иное не установлено законодательством.
ГЛАВА 5
ПОРЯДОК ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ
5.1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь.
Согласие субъекта персональных данных может быть получено в письменной форме путём подписания отдельного документа (образец согласия — Приложение № 1), в виде электронного документа или в иной электронной форме (путём проставления соответствующей отметки на интернет-сайте), а также другим способом, позволяющим установить факт получения согласия субъекта персональных данных.
В случае необходимости изменения первоначально заявленных целей обработки персональных данных Оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с изменёнными целями обработки персональных данных при отсутствии иных оснований для обработки.
5.2. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
5.3. Обработку персональных данных осуществляют работники Оператора, в должностные обязанности которых входит обработка персональных данных для заявленных целей.
5.4. Обработка персональных данных, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление Оператором, осуществляется следующими способами:
- с использованием средств автоматизации;
- без использования средств автоматизации (на бумажном носителе).
5.5. Оператор в отдельных случаях может поручить обработку персональных данных уполномоченному лицу на основании заключаемого договора.
5.6. Оператор осуществляет обработку персональных данных с использованием средств автоматизации при применении следующего программного обеспечения:
- Автоматизированная библиотечная информационная система ЦНБ НАН Беларуси;
- «Сводный электронный каталог библиотек Беларуси»;
- Программный комплекс «Мир бухгалтера»;
- «Автоматизированная система информационного обеспечения библиометрической оценки научной продуктивности и результативности деятельности исследовательских организаций и учёных» (АС БОНУС);
- База данных «Электронный каталог документов»;
- Автоматизированная система избирательного распространения и электронной доставки научной информации АС ИРИ ЦНБ НАН Беларуси;
- База данных «Изучение чтения и книгоиздания в Беларуси»;
- База данных «Биобиблиография учёных НАН Беларуси»;
- Виртуальная справочная служба (ВСС);
- Служба электронной доставки документов (ЭДД);
- Репозиторий Центральной научной библиотеки НАН Беларуси;
- Интернет-сайт «Центральной научной библиотеки имени Якуба Коласа Национальной академии наук Беларуси»;
- Интернет-сайт «Эко‑Инфо» ЦНБ НАН Беларуси;
- также сервисы удалённого доступа к лицензионным информационным ресурсам; и другие.
5.7. Источником информации о персональных данных является непосредственно субъект персональных данных, а также информация, полученная из открытых источников. Оператор вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
5.8. При хранении персональных данных Оператором соблюдаются условия, обеспечивающие сохранность персональных данных.
5.9. Документы, включающие в себя персональные данные, содержащиеся на бумажных носителях, за исключением документов, относящихся к библиотечным фондам, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
5.10. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты.
5.11. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.12. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
5.13. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе.
5.14. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
ГЛАВА 6
ПРАВА И ОБЯЗАННОСТИ
СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА
6.1. Субъект персональных данных имеет право:
- на получение информации, касающейся обработки его персональных данных, в порядке, форме и в сроки, установленные законодательством о персональных данных;
- на получение информации о предоставлении своих персональных данных третьим лицам в соответствии с законодательством о персональных данных;
- требовать прекращения обработки своих персональных данных при отсутствии оснований для обработки персональных данных;
- требовать внесения изменений в свои персональные данные, если они являются неполными, устаревшими или неточными;
- требовать удаление (обезличивание) своих персональных данных, их блокирование, если персональные данные являются незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных, если это не противоречит законодательству;
- принимать предусмотренные законодательством меры по защите своих прав;
- отозвать своё согласие на обработку персональных данных.
6.2. Оператор имеет право:
- обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
- требовать от субъекта персональных данных предоставление достоверных персональных данных, необходимых для исполнения договора, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
- обрабатывать общедоступные персональные данные физических лиц;
- осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством;
- поручить обработку персональных данных уполномоченному лицу при условии обеспечения эффективных средств защиты у третьего лица.
6.3. Оператор обязан:
- разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- получать согласие субъекта персональных данных, за исключением случаев, определённых Законом № 99‑З и иными законодательными актами;
- предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, определённых Законом № 99‑З и иными законодательными актами;
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, определённых Законом № 99‑З и иными законодательными актами;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных;
- осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путём персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных;
- принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- выполнять иные обязанности, предусмотренные законодательством.
ГЛАВА 7
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ДАННЫХ
Оператором может осуществляться трансграничная передача персональных данных на территорию иностранных государств, в которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.
Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, установленных ст. 9 Закона № 99‑З.
ГЛАВА 8
МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ
ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Для осуществления внутреннего контроля за обработкой персональных данных назначается ответственное лицо.
Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, осуществляет следующие функции:
- контроль деятельности структурных подразделений Оператора по вопросам соблюдения требований к обработке и защите персональных данных;
- координацию деятельности структурных подразделений Оператора по вопросам обработки и защиты персональных данных;
- организацию разработки локальных правовых актов, регламентирующих вопросы в отношении обработки персональных данных.
8.2. Оператор обеспечивает применение мер защиты персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
8.3. Оператор при обработке персональных данных обеспечивает их защиту и осуществляет следующие мероприятия:
- издание документов, определяющих политику Оператора в отношении обработки персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, проведение обучения;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе;
- осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов, содержащих персональные данные;
- неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки;
- прекращение обработки персональных данных при отсутствии оснований для их обработки;
- незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
- ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
- осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
ГЛАВА 9
ОТВЕТСТВЕННОСТЬ
9.1. Лица, виновные в нарушении Закона № 99‑З, несут ответственность, предусмотренную законодательными актами.
9.2. Работники и иные лица, виновные в нарушении настоящей Политики, а также законодательства Республики Беларусь в области персональных данных, могут быть привлечены к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Республики Беларусь, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Республики Беларусь.