Гродненский государственный университет имени Янки Купалы

ПОЛИТИКА
в отношении обработки персональных данных
в учреждении образования «Гродненский государственный университет имени Янки Купалы»

Утверждено приказом ректора ГрГУ имени Янки Купалы от 19.02.2025 № 98

Общие положения
1. Политика в отношении обработки персональных данных (далее – Политика) разработана во исполнение законодательства Республики Беларусь в области обработки и защиты персональных данных и определяет основные направления деятельности учреждения образования «Гродненский государственный университет имени Янки Купалы» (далее – Оператор) в сфере обработки персональных данных физических лиц (далее – субъекты персональных данных).
2. Настоящая Политика утверждена с целью разъяснить субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отразить имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
3. В настоящей Политике используются термины и их определения в значении, определённом Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
4. Политика не применяется к обработке персональных данных при видеонаблюдении, в системе контроля и управления доступом, при обработке cookie-файлов на Интернет-сайте Оператора, а также при обработке персональных данных в информационной системе «Цифровой кабинет абитуриента ГрГУ им. Янки Купалы».
5. Политика публикуется в свободном доступе в сети Интернет на сайте Оператора по адресу: https://www.grsu.by.
  Оператор вправе при необходимости в одностороннем порядке вносить в Политику соответствующие изменения с последующим размещением новой Политики на сайте. Субъекты персональных данных самостоятельно получают на сайте информацию об изменениях Политики.
6. Место нахождения Оператора: 230023, г. Гродно, ул. Ожешко, 22.
Цели, категории субъектов персональных данных, перечень обрабатываемых персональных данных, правовые основания и сроки хранения персональных данных
1. Цели обработки Оператором персональных данных, категории субъектов персональных данных, перечень обрабатываемых персональных данных, сроки хранения персональных данных определены в приложении 1 к настоящей Политике.
2. Оператор не допускает избыточной обработки персональных данных.
3. Оператор предоставляет персональные данные третьим лицам только при наличии оснований, предусмотренных законодательными актами.
Перечень действий с персональными данными и способы их обработки
1. Оператор осуществляет обработку персональных данных, под которой понимается любое действие или совокупность действий, совершаемые с персональными данными.
  Обработка персональных данных включает в себя: сбор, систематизацию, хранение, изменение (уточнение, обновление), использование, распространение, предоставление, обезличивание, блокирование, удаление.
2. Предоставление персональных данных осуществляется в случаях:
  1. поручения обработки персональных данных уполномоченным лицам;
  2. в случаях, предусмотренных статьями 6 и 8 Закона Республики Беларусь от 07.05.2021 №99-З «О защите персональных данных»;
  3. в иных случаях с согласия субъекта персональных данных.
3. Распространение персональных данных осуществляется при информировании о деятельности и мероприятиях Оператора, в рамках новостного контента на информационных стендах, официальном сайте, в социальных сетях.
4. Обработка персональных данных в университете осуществляется следующими способами:
  1. с использованием средств автоматизации;
  2. без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);
  3. смешанная обработка персональных данных.
Трансграничная передача персональных данных
1. Оператор осуществляет трансграничную передачу* персональных данных для обеспечения непрерывной коммуникации с пользователями социальных сетей и мессенджеров (Instagram, TikTok, Теlegram, видеохостинг YouTube).
2. Оператор осуществляет трансграничную передачу персональных данных следующим категориям субъектов: юридическим лицам (в том числе учреждениям образования, научным организациям), физическим лицам, в том числе выпускникам Оператора и их представителям, находящимся на территории иностранного государства, дипломатическим представительствам и консульским учреждениям, используя следующие способы связи: почтовые пересылки, электронная почта.
3. Оператором в рамках международного сотрудничества в сфере образования и науки могут передаваться персональные данные в государства:
  1. обеспечивающие надлежащий уровень защиты прав субъектов персональных данных (Германия, Греция, Грузия, Дания, Испания, Италия, Казахстан, Кыргызстан, Латвия, Литва, Монако, Нидерланды, Норвегия, Польша и др.);
  2. не обеспечивающие надлежащий уровень защиты прав субъектов персональных данных (Вьетнам, Египет, Зимбабве, Израиль, Индия, Индонезия, Иран, Китай, Корея, Куба, Малайзия, Монголия, Пакистан, Палестина, Судан, США, Таджикистан, Туркменистан, Узбекистан, Япония и др.).
  Полный перечень государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, размещён на официальном сайте Национального центра защиты персональных данных Республики Беларусь.
4. В случае обработки персональных данных на территории государств, не обеспечивающих надлежащий уровень защиты прав субъектов персональных данных, перед получением согласия на обработку субъект дополнительно информируется о существовании рисков, возникающих в связи с отсутствием надлежащего уровня защиты данных в таких странах, а именно:
  1. об отсутствии специального законодательства, регулирующего обработку персональных данных, требований по соблюдению таких норм;
  2. об отсутствии обязательных требований по наличию и соблюдению локальных актов по обработке персональных данных;
  3. об отсутствии уполномоченного государственного органа по защите персональных данных;
  4. о риске использования ненадлежащих способов получения персональных данных;
  5. о риске использования ненадлежащих способов защиты персональных данных от утечки;
  6. о риске незаконной обработки персональных данных, в результате чего персональные данные могут стать доступными неограниченному кругу лиц и иных подобных рисках.
5. Оператор может поручать обработку персональных данных уполномоченным лицам.
Условия обработки персональных данных Оператором
1. Обработка персональных данных осуществляется Оператором с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь.
  Перечень оснований, по которым обработка персональных данных осуществляется без согласия субъекта персональных данных, закреплен в статьях 6 и 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
2. В случае признания субъекта персональных данных недееспособным или ограниченно дееспособным, а также до достижения им возраста шестнадцати лет, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку его персональных данных дает один из его законных представителей.
3. В случае смерти субъекта персональных данных, объявления его умершим согласие на обработку его персональных данных дают один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
4. Согласие субъекта или его представителя (при наличии надлежаще оформленных полномочий) может быть получено в письменной форме, в виде электронного документа или иной электронной форме.
  Оператор перед получением согласия на обработку персональных данных разъясняет субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Данная информация должна быть представлена в той же форме, что и форма получения согласия.
Основные права и обязанности Оператора и субъекта персональных данных
1. Оператор имеет право:
  1. запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
  2. получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
  3. отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и/или их удаления при наличии оснований для обработки, предусмотренных законодательством Республики Беларусь, в том числе если они являются необходимыми для заявленных целей их обработки;
  4. в случае необходимости для достижения целей обработки вправе передавать персональные данные третьим лицам с соблюдением требований законодательства Республики Беларусь.
2. Оператор обязан:
  1. обрабатывать персональные данные в порядке, установленном законодательством Республики Беларусь;
  2. обеспечивать защиту персональных данных в процессе их обработки;
  3. принимать меры по обеспечению достоверности обрабатываемых им персональных данных, вносить изменения в персональные данные, являющиеся неполными, устаревшими или неточными;
  4. рассматривать заявления субъектов персональных данных по вопросам обработки персональных данных и давать на них мотивированные ответы;
  5. предоставлять субъекту персональных данных информацию о его персональных данных, об их предоставлении третьим лицам;
  6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование при отсутствии оснований для их обработки, а также по требованию субъекта персональных данных.
3. Субъект персональных данных имеет право:
  1. на получение информации, касающейся обработки Оператором его персональных данных, в том числе о предоставлении его персональных данных третьим лицам. Информация о предоставлении персональных данных третьим лицам предоставляется один раз в календарном году бесплатно, если иное не предусмотрено законодательством Республики Беларусь;
  2. на внесение изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. С этой целью субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
  3. на отзыв своего согласия на обработку персональных данных, если для обработки персональных данных Оператор обращался к субъекту персональных данных за получением согласия. Право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства либо на основании договора);
  4. на прекращение обработки его персональных данных, включая их удаление, при отсутствии оснований для их обработки;
  5. на обжалование действий/бездействий и решений Оператора, относящихся к обработке его персональных данных, в порядке, установленном законодательством.
4. Субъект персональных данных обязан:
  1. предоставлять Оператору достоверные персональные данные;
  2. в случае необходимости представлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;
  3. информировать в установленные сроки Оператора об изменениях его персональных данных.
Механизм реализации прав субъекта персональных данных
1. Для реализации своих прав, связанных с обработкой персональных данных Оператором, субъект персональных данных подает Оператору заявление в письменной форме:
  1. по почтовому адресу, указанному в пункте 1.6 настоящей Политики;
  2. посредством государственной единой (интегрированной) республиканской информационной системы учета и обработки обращений граждан и юридических лиц (https://обращения.бел).
  В случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено.
2. Заявление субъекта персональных данных должно содержать:
  1. фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
  2. дату рождения субъекта персональных данных;
  3. изложение сути требований субъекта персональных данных;
  4. идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
  5. личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
3. Оператор не рассматривает заявления субъектов персональных данных, поступившие в его адрес иными способами (e-mail, телефон и т.п).
Контроль за соблюдением законодательства в области персональных данных
1. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных в структурных подразделениях университета, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на их руководителей
2. Внутренний контроль за соблюдением структурными подразделениями университета законодательства Республики Беларусь и локальных правовых актов университета в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом (структурным подразделением), ответственным за осуществление внутреннего контроля за обработкой персональных данных в университете.
3. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора, направив сообщение на электронный адрес: mail@grsu.by.