ПОЛОЖЕНИЕ
о политике в отношении обработки
персональных данных
о политике в отношении обработки
персональных данных
2025 г.
1.1. Настоящий документ определяет политику Индивидуального предпринимателя Тюфановой Татьяны Андреевны(далее по тексту – Оператор) в отношении обработки персональных данных пользователей (далее по тексту – политика). Действие настоящей политики распространяется на все операции, совершаемые Оператора с персональными данными с использованием средств автоматизации или без их использования, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, осуществляемые с использованием средств автоматизации и без использования таких средств.
Сайт Оператора https://tyufanova.by (далее – Сайт).
1.2. Настоящая Политика не применяется к обработке персональных данных пользователей сайта (в части файлов Cookies).
1.3. Настоящая Политика распространяется на все процессы Оператора, процедуры и операции, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, так и без использования средств автоматизации.
1.4. Действие настоящей Политики не распространяется на отношения, касающиеся случаев обработки персональных данных, отнесенных в установленном порядке к государственным секретам.
1.5. Настоящая Политика, а также все изменения и дополнения к ней принимаются и утверждаются в установленном у Оператора порядке и действуют до замены их новыми.
1.6. Ответственность за поддержание настоящей Политики в актуальном состоянии возлагается на лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных у Оператора.
1.7. Изменения в настоящую Политику могут вноситься в случаях изменения законодательства Республики Беларусь о защите персональных данных и принятых в соответствии с ним нормативных правовых актов, существенного изменения в структуре процессов, в рамках которых осуществляется обработка персональных данных, изменения организационной структуры Оператора и полномочий участников процесса, а также по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, по результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий, утвержденных локальными правовыми актами Оператора.
1.8. В случае изменения законодательства Республики Беларусь о защите персональных данных и принятых в соответствии с ним нормативных правовых актов, настоящая Политика применяется в части, не противоречащей вновь принятым нормативным правовым документам до момента приведения ее положений в соответствие нормам изменившегося законодательства. 1.9. Локальные правовые акты Оператора, затрагивающие вопросы обработки и защиты персональных данных, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
1.10. Настоящая Политика является общедоступной и подлежит размещению по месту нахождения Оператора, внутри его помещений для ознакомления любым заинтересованным лицом, и на сайте Оператора.
2. Термины и определения
2.1. «Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники;
2.2. «Обработка персональных данных» – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
2.3. «Общедоступные персональные данные» – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательства;
2.4. «Блокирование персональных данных» – прекращение доступа к персональным данным без их удаления;
2.5. «Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.6. «Удаление персональных данных» – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
2.7. «Персональные данные» – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
2.8. «Предоставление персональных данных» – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
2.9. «Распространение персональных данных» – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
2.10. «Специальные персональные данные» – персональные данные, касающиеся расовой или национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
2.11. «Субъект персональных данных» – физическое лицо, в отношении которого осуществляется обработка персональных данных;
2.12. «Трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства;
2.13. «Уполномоченное лицо» – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с Оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
2.14. «Физическое лицо, которое может быть идентифицировано» – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
3. Оператор осуществляет обработку персональных данных в следующих случаях:
Сайт Оператора https://tyufanova.by (далее – Сайт).
1.2. Настоящая Политика не применяется к обработке персональных данных пользователей сайта (в части файлов Cookies).
1.3. Настоящая Политика распространяется на все процессы Оператора, процедуры и операции, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, так и без использования средств автоматизации.
1.4. Действие настоящей Политики не распространяется на отношения, касающиеся случаев обработки персональных данных, отнесенных в установленном порядке к государственным секретам.
1.5. Настоящая Политика, а также все изменения и дополнения к ней принимаются и утверждаются в установленном у Оператора порядке и действуют до замены их новыми.
1.6. Ответственность за поддержание настоящей Политики в актуальном состоянии возлагается на лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных у Оператора.
1.7. Изменения в настоящую Политику могут вноситься в случаях изменения законодательства Республики Беларусь о защите персональных данных и принятых в соответствии с ним нормативных правовых актов, существенного изменения в структуре процессов, в рамках которых осуществляется обработка персональных данных, изменения организационной структуры Оператора и полномочий участников процесса, а также по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, по результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий, утвержденных локальными правовыми актами Оператора.
1.8. В случае изменения законодательства Республики Беларусь о защите персональных данных и принятых в соответствии с ним нормативных правовых актов, настоящая Политика применяется в части, не противоречащей вновь принятым нормативным правовым документам до момента приведения ее положений в соответствие нормам изменившегося законодательства. 1.9. Локальные правовые акты Оператора, затрагивающие вопросы обработки и защиты персональных данных, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
1.10. Настоящая Политика является общедоступной и подлежит размещению по месту нахождения Оператора, внутри его помещений для ознакомления любым заинтересованным лицом, и на сайте Оператора.
2. Термины и определения
2.1. «Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники;
2.2. «Обработка персональных данных» – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
2.3. «Общедоступные персональные данные» – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательства;
2.4. «Блокирование персональных данных» – прекращение доступа к персональным данным без их удаления;
2.5. «Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.6. «Удаление персональных данных» – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
2.7. «Персональные данные» – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
2.8. «Предоставление персональных данных» – действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
2.9. «Распространение персональных данных» – действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
2.10. «Специальные персональные данные» – персональные данные, касающиеся расовой или национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
2.11. «Субъект персональных данных» – физическое лицо, в отношении которого осуществляется обработка персональных данных;
2.12. «Трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства;
2.13. «Уполномоченное лицо» – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с Оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
2.14. «Физическое лицо, которое может быть идентифицировано» – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности;
3. Оператор осуществляет обработку персональных данных в следующих случаях:
4. Персональные данные могут быть также использованы Операторв научных или иных исследовательских целях после обязательного обезличивания таких персональных данных
5. Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.
6. Оператор не осуществляет передачу персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами.
7. Трансграничная передача персональных данных Оператором
не осуществляется.
8. Субъект персональных данных имеет право:
8.1. на отзыв своего согласия, если для обработки персональных данных Оператор обращалась к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании договора (например, при реализации образовательных программ) либо в соответствии с требованиями законодательства (например, при проведении контроля либо рассмотрении поступившего обращения);
8.2. на получение информации, касающейся обработки своих персональных данных, содержащей:
место нахождения Оператора;
подтверждение факта обработки персональных данных обратившегося лица Оператором;
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица (уполномоченных лиц);
иную информацию, предусмотренную законодательством;
8.3. требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
8.4. получить от Оператора информацию о предоставлении своих персональных данных, обрабатываемых Оператором, третьим лицам. Такое право может быть реализовано один раз в календарный год,
а предоставление соответствующей информации осуществляется бесплатно;
8.5. требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
8.6 обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных,
в уполномоченный орган по защите прав субъектов персональных данных
в порядке, установленном законодательством об обращениях граждан
и юридических лиц.
9. Для реализации своих прав, связанных с обработкой персональных данных Оператором, субъект персональных данных подает
Оператору заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия – также в форме, в которой такое согласие было получено) соответственно по почтовому адресу или адресу в сети Интернет, указанным в части пятой пункта 1 настоящей Политики. Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
Оператор не рассматривает заявления субъектов персональных данных, направленные иными способами (e-mail, телефон, факс и т.п).
10. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора, направив сообщение на электронный адрес: tanya.tyufanova@yandex.ru
11. При обработке персональных данных Оператор обязан:
- разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных;
- получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;
- обеспечивать защиту персональных данных в процессе их обработки;
- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;
- осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию Национального центра защиты персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
- выполнять иные обязанности, предусмотренные законодательством.
12. Оператор для выполнения своих обязанностей, предусмотренных Законом «О защите персональных данных» и принятыми в соответствии с ним локальными правовыми актами, в частности по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие правовые, организационные и технические меры:
- назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных:
- издает политики и иные локальные правовые акты, определяющие подходы к обработке персональных данных и их защите;
- знакомит работников Оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, а также проводит обучение указанных работников и иных лиц в порядке, установленном законодательством;
- устанавливает порядок доступа к персональным данным, в том числе обрабатываемым в информационных системах Оператора;
- осуществляет техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
13. Контроль за соблюдением законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных
13.1. Контроль за соблюдением Оператором законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных Оператором законодательству Республики Беларусь и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
13.2. Внутренний контроль за соблюдением Оператором требований законодательства Республики Беларусь и локальных нормативных актов Оператора в области персональных данных осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных у Оператора.
5. Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.
6. Оператор не осуществляет передачу персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами.
7. Трансграничная передача персональных данных Оператором
не осуществляется.
8. Субъект персональных данных имеет право:
8.1. на отзыв своего согласия, если для обработки персональных данных Оператор обращалась к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на основании договора (например, при реализации образовательных программ) либо в соответствии с требованиями законодательства (например, при проведении контроля либо рассмотрении поступившего обращения);
8.2. на получение информации, касающейся обработки своих персональных данных, содержащей:
место нахождения Оператора;
подтверждение факта обработки персональных данных обратившегося лица Оператором;
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица (уполномоченных лиц);
иную информацию, предусмотренную законодательством;
8.3. требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
8.4. получить от Оператора информацию о предоставлении своих персональных данных, обрабатываемых Оператором, третьим лицам. Такое право может быть реализовано один раз в календарный год,
а предоставление соответствующей информации осуществляется бесплатно;
8.5. требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
8.6 обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных,
в уполномоченный орган по защите прав субъектов персональных данных
в порядке, установленном законодательством об обращениях граждан
и юридических лиц.
9. Для реализации своих прав, связанных с обработкой персональных данных Оператором, субъект персональных данных подает
Оператору заявление в письменной форме или в виде электронного документа (а в случае реализации права на отзыв согласия – также в форме, в которой такое согласие было получено) соответственно по почтовому адресу или адресу в сети Интернет, указанным в части пятой пункта 1 настоящей Политики. Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
Оператор не рассматривает заявления субъектов персональных данных, направленные иными способами (e-mail, телефон, факс и т.п).
10. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора, направив сообщение на электронный адрес: tanya.tyufanova@yandex.ru
11. При обработке персональных данных Оператор обязан:
- разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных;
- получать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;
- обеспечивать защиту персональных данных в процессе их обработки;
- предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;
- осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию Национального центра защиты персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
- выполнять иные обязанности, предусмотренные законодательством.
12. Оператор для выполнения своих обязанностей, предусмотренных Законом «О защите персональных данных» и принятыми в соответствии с ним локальными правовыми актами, в частности по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие правовые, организационные и технические меры:
- назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных:
- издает политики и иные локальные правовые акты, определяющие подходы к обработке персональных данных и их защите;
- знакомит работников Оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, а также проводит обучение указанных работников и иных лиц в порядке, установленном законодательством;
- устанавливает порядок доступа к персональным данным, в том числе обрабатываемым в информационных системах Оператора;
- осуществляет техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
13. Контроль за соблюдением законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных
13.1. Контроль за соблюдением Оператором законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных Оператором законодательству Республики Беларусь и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
13.2. Внутренний контроль за соблюдением Оператором требований законодательства Республики Беларусь и локальных нормативных актов Оператора в области персональных данных осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных у Оператора.
