Политика в отношении обработки перcональных данных
УТВЕРЖДЕНО
Приказ директора
Государственного учреждения
«Гомельский областной клуб по
игровым видам спорта»
21.05.2025 №267—од
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) определяет основные принципы, цели, правовые основания, объем и категории обрабатываемых персональных данных, порядок и условия обработки персональных данных, права и обязанности государственного учреждения «Гомельский областной клуб по игровым видам спорта» при обработке персональных данных, категории и права субъектов персональных данных, а также реализуемые государственным учреждением «Гомельский областной клуб по игровым видам спорта» обязательные принимаемые меры по обеспечению защиты персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон №99-З).
1.2. Оператором является Государственное учреждение «Гомельский областной клуб по игровым видам спорта» (далее – учреждение, оператор).
1.3. Контактные данные:
Местонахождение: 246049, г. Гомель, ул. Б.Хмельницкого, 118А
Адрес в сети Интернет: https://gomelclub.by//
Адрес электронной почты: info@gomelclub.by
Номер телефона: + 375 232 50-21-33.
1.4. Настоящая политика разработана в соответствии и во исполнение:
Конституции Республики Беларусь;
Трудового кодекса Республики Беларусь;
Гражданского кодекса Республики Беларусь;
Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
Указа Президента Республики Беларусь от 28.10.2021 №422 «О мерах по совершенствованию защиты персональных данных» (с Положением о Национальном центре защиты персональных данных);
Закона Республики Беларусь от 04.01.2014 № 125-З «О физической культуре и спорте»;
иных нормативных правовых актов в области защиты персональных данных с целью обеспечения защиты персональных данных, которые могут быть получены от субъектов персональных данных, а также защиты их прав, свобод и законных интересов при обработке персональных данных.
1.5. Положения настоящей Политики служат основой для разработки локальных правовых актов, регламентирующих вопросы обработки и защиты персональных данных работников учреждения и других субъектов персональных данных.
1.6. Действие настоящей Политики распространяется на обработку персональных данных (категории субъектов):
работников учреждения, в том числе уволенных, либо лиц, претендующих на трудоустройство, а также их близких родственников и свойственников, иных представителей учреждения;
лиц при заключении гражданско-правовых договоров;
пользователей официального интернет-сайта учреждения https://gomelclub.by//;
физических лиц, персональные данные которых используются при формировании информационных ресурсов учреждения;
физические лица при посещении учреждения;
физические лица, направившие обращения, в том числе внесенные в книгу замечаний и предложений;
физические лица, обратившиеся за осуществлением административных процедур;
физические лица, обратившиеся на личный прием;
физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их права и законные интересы и соответствует требованиям, установленным законодательством о персональных данных;
иных субъектов, взаимодействие которых с учреждением создает необходимость обработки персональных данных.1.7. При организации процессов обработки персональных данных Оператор исходит из необходимости участия всех работников в рамках их должностных обязанностей в сохранности персональных данных и прозрачности при их обработке.
2. Основные термины и их определение
2.1. В настоящей политике используются следующие основные термины и их определения:
персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники (специальных программ);
биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
блокирование персональных данных – прекращение доступа к персональным данным без их удаления;
генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
документированная информация – информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать;
защита персональных данных – комплекс мер (организационно-распорядительных, технических, правовых, мер), направленных на обеспечение от несанкционированного или случайного доступа, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных;
информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
информационная система – совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, – физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства;
удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Иные термины и их определения, употребляющиеся в настоящей Политике, используются в значениях, определенных законодательством.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личной и семейной тайны, на основе следующих принципов:
на законной и справедливой основе;
соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных представляется соответствующая информация, касающаяся обработки его персональных данных. Оператор принимает меры к обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных не дольше, чем этого требуют заявленные цели обработки персональных данных.
4. Порядок и условия обработки персональных данных
4.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования посредством сбора, хранения, использования, систематизации, изменения, предоставления, удаления).
4.2. Информация о целях обработки персональных данных, перечне обрабатываемых персональных данных, правовых основаниях и сроках их хранения содержится в Приложении 1 к настоящей Политике.
4.3. Перечень персональных данных, обрабатываемых учреждением, определяется в соответствии с законодательством, локальными актами, для достижения поставленных целей и включает в себя:
фамилия, собственное имя, отчество (если таковое имеется);
пол;
число, месяц, год рождения;
место рождения;
данные о реквизитах документов, удостоверяющих личность и подтверждающих персональные данные конкретных субъектов персональных данных (наименование документа, серия, номер, дата выдачи, срок действия, наименование органа, выдавшего документ), идентификационный номер;
фотопортрет (фотография для документов);
данные о гражданстве (подданстве);
данные о регистрации по месту жительства и (или) месту пребывания;
данные о семейном положении, близких родственниках;
данные об образовании, ученой степени, ученом звании;
данные медицинского характера;
номер и серия страхового свидетельства государственного социального страхования;
контактные данные: номер телефона (домашний, рабочий, мобильный), адрес электронной почты;
место учебы (факультет, курс, форма обучения);
место работы, должность;
специальные персональные данные (включая изображение, видеоизображение, рост и медицинские сведения о здоровье);
иные персональные данные, представленные самим субъектом персональных данных, либо полученные иным
4.4. Основанием для обработки персональных данных является согласие субъекта персональных данных, за исключением случаев, когда обработка персональных данных осуществляется без получения такого согласия в соответствии с законодательством Республики Беларусь или договором, заключенным между учреждением и субъектом данных
До получения согласия субъекту персональных данных представляется информация о том, кому, для каких целей предоставляются персональные данные и какие персональные данные подлежат обработке, а также субъекту персональных данных будут разъяснены его права, связанные с обработкой персональных данных, механизм реализации таких прав, последствия дачи согласия или отказа в даче согласия.
Согласие субъекта персональных данных может быть получено в письменной форме путем подписания отдельного документа согласно Приложению 2 к настоящей Политике, в виде электронного документа, а также другим способом, позволяющим установить факт получения согласия субъекта персональных данных.
В случае необходимости изменения первоначально заявленных целей обработки персональных данных учреждение обязано получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки.
4.5. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
4.6. Обработку персональных данных осуществляют работники учреждения, в должностные обязанности которых входят выполнение обязанностей по направлению деятельности.
5. Уполномоченные лица
5.1. Оператор поручает обработку персональных данных уполномоченным лицам на основании заключаемого с уполномоченным лицом договора, либо на ином правовом основании, предусмотренном законодательством Республики Беларусь. Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению учреждения, содержится в Приложении 3 к настоящей Политике
5.2. В целях обеспечения защиты персональных данных при их обработке уполномоченными лицами на уровне не ниже, чем в учреждении, учреждение:
периодически осуществляет контроль за выполнением уполномоченными лицами мер по обеспечению защиты прав субъектов персональных данных при обработке их персональных данных по поручению оператора;
не дает уполномоченным лицам разрешения на привлечение субуполномоченных лиц/допускает привлечение уполномоченными лицами субуполномоченных лиц только при условии получения предварительного разрешения оператора/письменного уведомления оператора.
5.3. В целях внутреннего информационного обеспечения учреждение может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
5.4. Источником информации о персональных данных является непосредственно субъект персональных данных, а также информация, полученная из открытых источников. Учреждение вправе получать персональные данные субъекта персональных данных от третьих лиц только при уведомлении об этом субъекта либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
5.5. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством или договором, стороной которого является субъект персональных данных.
5.6. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
5.7. Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных. При этом в случае необходимости следует сохранять возможность обработки иных данных, зафиксированных на соответствующем материальном носителе (удаление, вымарывание).
5.8. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6. Трансграничная передача персональных данных
6.1. Учреждение осуществляет трансграничную передачу персональных данных с целью размещения информации о работниках, участниках проводимых учреждением мероприятий в социальных сетях и мессенджерах (фамилия, имя, отчество, дата рождения, рост, изображение (в т.ч. видеоизображение), иные размещаемые сведения (интервью, выступление и др).
6.2. Поскольку возможность установить государство, куда осуществляется трансграничная передача персональных данных, отсутствует, существует вероятность отсутствия в нем условий для обеспечения надлежащей защиты прав субъектов персональных данных. В этой связи учреждения сообщает о следующих возможных рисках трансграничной передачи персональных данных:
отсутствие законодательства о персональных данных;
отнесение к персональным данным ограниченного круга сведений о физическом лице;
отсутствие уполномоченного органа по защите прав субъектов персональных данных;
ограниченный перечень (отсутствие) прав субъектов персональных данных;
иные возможные риски нарушения прав субъектов персональных данных, возникающие в связи с трансграничной передачей персональных данных.
6.3. Обработка персональных данных осуществляется на основании на основании пункта 1 статьи 9 Закона № 99-З.
7. Права субъекта персональных данных
7.1. Субъект персональных данных имеет право:
7.1.1 на отзыв своего согласия, если для обработки персональных данных оператор обращался к субъекту персональных данных за получением согласия.
Субъект персональных данных в любое время без объяснения причин может отозвать свое согласие в порядке, установленном статьей 14 Закона № 99-З, либо в форме, посредством которой получено его согласие.
Учреждение обязуется в пятнадцатидневный срок после отзыва согласия прекратить обработку персональных данных, удалить их и уведомить об этом субъекта персональных данных.
Учреждение отказывает в прекращении обработки персональных данных, если такая обработка осуществляется на ином правовом основании (например, в соответствии с требованиями законодательства либо на основании договора).
7.1.2. на получение информации, касающейся обработки своих персональных данных учреждения, содержащей:
— место нахождения (наименование учреждения);
— подтверждение факта обработки персональных данных обратившегося лица (наименование учреждения);
— персональные данные и источник их получения;
— правовые основания и цели обработки персональных данных;
— срок, на который дано согласие (если обработка персональных данных осуществляется на основании согласия);
— наименование и место нахождения уполномоченного лица (уполномоченных лиц);
— иную информацию, предусмотренную законодательством.
Субъекту персональных данных не требуется обосновывать свой интерес к запрашиваемой информации.
Учреждение отказывает в предоставлении запрашиваемой информации в случаях, предусмотренных законодательством.
7.1.3. требовать от учреждения внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные.
Учреждение отказывает в изменении персональных данных, если из представленной информации не вытекает, что персональные данные субъекта являются неполными, устаревшими или неточными.
7.1.4. на получение от учреждения информации о предоставлении своих персональных данных, обрабатываемых учреждением, третьим лицам. Такая информация может быть получена один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.
Учреждение отказывает в предоставлении запрашиваемой информации, если обработка персональных данных осуществляется в соответствии с законодательством об оперативно-розыскной деятельности, уголовно-процессуальным законодательством и в иных случаях, предусмотренных законодательством.
7.1.5. требовать от учреждения бесплатного прекращения обработки своих персональных данных, включая их удаление.
При отсутствии технической возможности удаления персональных данных учреждение обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных.
Учреждение может отказать в прекращении обработки персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами.
7.1.6. на обжалование действий (бездействия) и решений учреждения, нарушающих его права при обработке персональных данных, в порядке, установленном законодательством.
Если субъект персональных данных полагает, что его права были нарушены учреждением, он может обратиться в учреждение посредством (указывается канал связи с оператором по указанным вопросам) для принятия мер по восстановлению его нарушенных прав.
Субъект персональных данных также наделен правом обратиться за защитой нарушенных прав, свобод и законных интересов субъекта персональных данных в Национальный центр защиты персональных данных с жалобой на действия (бездействие) учреждения.
7.2. Субъект персональных данных для реализации своих прав подает в учреждение заявление в соответствии со статьей 14 Закона
№ 99-З.
8. Меры, принимаемые для обеспечения выполнения обязанностей при обработке персональных данных
8.1. В учреждении назначается лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
8.2. Учреждение обеспечивает применение мер защиты персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
8.3. Учреждение при обработке персональных данных обеспечивает их защиту и осуществляет следующие мероприятия:
— ознакомление работников, в том числе непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, проведение обучения;
— установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
— неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику учреждения в отношении обработки персональных данных;
— прекращение обработки персональных данных при отсутствии оснований для их обработки;
— незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
— ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
— осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
9. Заключительные положения
9.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством.
9.2. В случае если какое-либо положение настоящей Политики признается противоречащим законодательству, остальные положения остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным или измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству.
9.3. Учреждение имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного уведомления субъектов персональных данных. Действующая редакция настоящей Политики размещается в сети Интернет на официальном интернет-сайте учреждения https://gomelclub.by//.
