Общие принципы обработки персональных данных MTÜ Tugi- ja Koolituskeskus Usaldus

1.1 Порядок обработки персональных данных (далее – Порядок) устанавливает принципы обработки персональных данных, права субъекта данных и обязанности учреждения при обработке персональных данных и меры безопасности для защиты персональных данных MTÜ Tugi- ja Koolituskeskus Usaldus (далее Учебный центр).

1.2 При обработке персональных данных учебный центр руководствуется «Законом об публичной информации», «Законом о защите персональных данных» и инструкциями Инспекции по защите данных.

1.3 Целью Закона о защите персональных данных и этого Порядка является защита основных прав и свобод физических лиц, в частности права на неприкосновенность частной жизни, при обработке персональных данных.

2.1 Персональные данные — это любые данные об идентифицированном или идентифицируемом физическом лице, независимо от того, в каком виде и форме эти данные.

2.2 Частная информация - MTÜ Tugi- ja Koolituskeskus Usaldus является владельцем учреждения дополнительного образования в понимании Закона об образовании взрослых, Учебный центр действует на основании Закона об образовании взрослых и установленных на его основе требований правовых актов. При выполнении своих задач Учебный центр осуществляет сбор персональных данных, включая конфиденциальную и личную информацию, которая недоступна для общественности – люди имеют право на неприкосновенность частной жизни. При хранении и использовании информации, содержащей личную информацию, учебный центр руководствуется Законом о защите персональных данных, Законом о публичной информации, настоящим порядком и правилами управления учебным центром.

2.3 Обработка персональных данных – любое действие, совершаемое с персональными данными, включая сбор персональных данных, их запись, систематизацию, хранение, изменение и раскрытие персональных данных, предоставление доступа к персональным данным, выполнение запросов и создание выписок, использование персональных данных, их передача, перекрестное использование, объединение, закрытие, удаление или уничтожение, или несколько из вышеупомянутых действий, независимо от способа выполнения действий и используемых инструментов.

2.4 Субъект данных – это лицо, персональные данные которого обрабатываются.

2.5 Третье лицо – физическое или юридическое лицо, филиал иностранной компании, государственное учреждение или учреждение местного самоуправления, не являющиеся обработчиком персональных данных, субъектом данных, физическим лицом, осуществляющим обработку персональных данных под руководством обработчика персональных данных.

2.6 Ответственным обработчиком является физическое или юридическое лицо, филиал иностранной компании, государственное учреждение или учреждение местного самоуправления, которое обрабатывает или от имени которого обрабатываются персональные данные.

3.1 Учебный центр обрабатывает персональные данные только для достижения законных целей и только в объеме, необходимом для осуществления деятельности, основанной на Законе об образовании взрослых и требованиях установленного на его основе законодательства.

3.2 Учебный центр основывается на следующих принципах при обработке персональных данных:

3.2.1 принцип законности – персональные данные собираются только честным и законным способом;

3.2.2 принцип целенаправленности - персональные данные могут собираться только для достижения определенных и законных целей и не могут обрабатываться способом, несовместимым с целями обработки данных;

3.2.3 принцип минимальности - персональные данные могут быть собраны в объеме, необходимом для достижения поставленных целей;

3.2.4 принцип ограничения использования - персональные данные могут быть использованы в иных целях только с согласия субъекта данных или с разрешения компетентного органа;

3.2.5 принцип качества данных - персональные данные должны быть актуальными, полными и необходимыми для достижения поставленной цели обработки данных;

3.2.6 принцип безопасности - должны быть реализованы меры безопасности для защиты персональных данных от непреднамеренной или несанкционированной обработки, раскрытия или уничтожения;

3.2.7 принцип индивидуального участия - субъект данных должен быть проинформирован о собранных о нем данных, ему должен быть предоставлен доступ к данным о нем, и он имеет право потребовать исправления неточных или вводящих в заблуждение данных.

4.1 Учебный центр обрабатывает персональные данные студентов, обучающихся по программам обучения взрослых и на дополнительных курсах обучения, предлагаемым учебным центром.

4.2 Как работодатель MTÜ Tugi-ja Koolituskeskus Usaldus обрабатывает персональные данные лиц, нанятых по договорам, заключенным на основании Закона о трудовом договоре Эстонской Республики и Закона об обязательственном праве.

5.1 Источниками персональных данных являются:

5.1.1 документы, отправленные, переданные и/или заполненные субъектом данных или его уполномоченным представителем (например, удостоверение личности, паспорт, контактные данные, документы, подтверждающие образование и другие документы) и его заявления.

5.2 Основание для обработки персональных данных:

5.2.1 по личной инициативе (например, запрос, заявление, служебная записка, запрос информации) или иное обращение лица;

5.2.2 инициатива лица или учреждения (например, запрос, заявление, запрос информации), которым субъект данных разрешил передачу данных или которые имеют на это право в соответствии с законом.

6.1 Персональные данные передаются лицам и учреждениям, которым передача данных разрешена субъектом данных или которые имеют на это право в соответствии с законом.

6.2 Передача персональных данных (кому, когда и какие персональные данные) фиксируется в реестре корреспонденции учебного центра. Учебный центр не собирает и не передает конфиденциальные персональные данные.

6.3 Журналы базы данных отслеживают данные, передаваемые в электронном виде (например, Eesti Töötukassa).

6.4 Обработка персональных данных допускается без согласия субъекта данных, если персональные данные обрабатываются:

6.4.1 на основании закона;

6.4.2 для защиты жизни, здоровья или свободы субъекта данных или другого лица, когда невозможно получить согласие субъекта данных;

6.4.3 для выполнения договора, заключенного с субъектом данных, или для обеспечения выполнения договора, за исключением обработки конфиденциальных персональных данных.

6.5 Передача персональных данных или предоставление доступа к ним третьему лицу для обработки данных допускается без согласия субъекта данных:

6.5.1 если третье лицо, которому передаются данные, обрабатывает персональные данные для выполнения задачи, предусмотренной законом, иностранным договором или прямо применимым законодательством Совета Европейского Союза или Европейской Комиссии;

6.5.2 в отдельных случаях для защиты жизни, здоровья или свободы субъекта данных или другого лица, когда невозможно получить согласие субъекта данных;

6.5.3 третье лицо запрашивает информацию, которая была получена или создана при выполнении общественных обязанностей, предусмотренных законом или изданными на его основании правовыми актами, и запрашиваемая информация не содержит конфиденциальных персональных данных и на нее не наложено ограничение доступа по какой-либо иной причине.

7.1 Согласно § 19 Закона о защите персональных данных, каждый человек имеет право на получение информации, какие персональные данные есть и были собраны о нем в организации с какой целью и на основании какого закона или иного законодательства обрабатываются его данные, каким лицам или организациям были переданы его персональные данные.

7.2 Субъект данных имеет возможность получить информацию о собранных и обработанных о нем данных. Информацию можно получить следующим образом: подав письменный запрос представителю учебного центра, с просьбой на выдачу документов с личными данными субъекта данных в соответствии с запросом на информацию (согласно § 14 Закона о публичной информации), чтобы ознакомиться со своими личными данными, документами или реестрами в учебном центре на месте.

7.3 Если возможно, персональные данные будут выданы запрошенным субъектом способом.

7.4 При выдаче персональных данных учебный центр должен быть уверен, что именно это лицо имеет право на получение соответствующих данных. Поэтому запрашивающий данные должен, при необходимости, подтвердить свою личность или право запрашивать данные.

7.5 В соответствии § 19 lg 3 «Закона о защите персональных данных» обработчик персональных данных обязан обосновать отказ в выдаче данных или предоставлении информации. Обработчик персональных данных информирует субъекта данных о решении об отказе в предоставлении данных или информации в течение пяти рабочих дней после получения заявления. В зависимости от запрашиваемых данных специальным законом могут быть предусмотрены исключения из порядка предоставления сведений и выдачи персональных данных.

7.6 Обработчик имеет право отказать в предоставлении информации субъекту данных, если это может:

7.6.1 нанести ущерб правам и свободам другого лица;

7.6.2 препятствовать предотвращению преступления или задержанию преступника;

7.6.3 затруднить установление истины в уголовном процессе.

7.7 Субъект данных имеет право требовать исправления неверных персональных данных у обработчика его персональных данных. В случае дополнения или исправления данных обработчик также сохраняет неверные персональные данные с пометкой о времени их использования или их изменения.

7.8 Если обработка персональных данных не разрешена законом, субъект данных вправе потребовать:

7.8.1 прекращение обработки персональных данных;

7.8.2 прекращение раскрытия или предоставление доступа к персональным данным;

7.8.3 удаление или закрытие собранных персональных данных.

8.1 Лицо, ответственное за защиту персональных данных в учебном центре MTÜ Tugi- ja Koolituskeskus Usaldus, назначается распоряжением члена правления.

8.2 Сотрудник учебного центра, осуществляющий обработку персональных данных, обязан:

8.2.1 обрабатывать персональные данные в целях и на условиях, разрешенных настоящим Порядком и в соответствии с инструкциями;

8.2.2 сохранять в тайне персональные данные, ставшие ему известными при исполнении своих обязанностей, даже после исполнения обязанностей, связанных с обработкой или прекращением трудовых отношений;

8.2.3 при необходимости принять участие в предлагаемом работодателем внешнем обучении в области защиты персональных данных;

8.2.4 знать и руководствоваться «Законом о защите персональных данных» при обработке данных.

8.3 Сотрудник учебного центра обязан сохранять в тайне персональные данные, ставшие ему известными в процессе исполнения им своих обязанностей, и которые не предназначены для общего использования.

8.4 Сотрудник учебного центра несет ответственность, предусмотренную «Законом о защите персональных данных», за нарушение порядка обработки персональных данных.

8.5 MTÜ Tugi- ja Koolituskeskus Usaldus обязан:

8.5.1 незамедлительно удалять или закрывать персональные данные, не являющиеся необходимыми для достижения целей, если иное не предусмотрено законом;

8.5.2 обеспечить правильность персональных данных и, если это необходимо для достижения целей, их актуальность;

8.5.3 закрыть неполные и неверные персональные данные и незамедлительно принять необходимые меры по их дополнению и исправлению;

8.5.4 сохранить неверные данные с отметкой о времени их использования вместе с правильными данными;

8.5.5 закрыть персональные данные, правильность которых оспаривается, до установления правильности данных или выявления верных данных;

8.5.6 в случае исправления персональных данных незамедлительно информировать третьих лиц, от которых были получены персональные данные или которым были переданы персональные данные, если это технически возможно и не влечет за собой несоразмерно больших затрат.