Политикаконфиденциальности

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ БЮДЖЕТНОМ УЧРЕЖДЕНИИ КУЛЬТУРЫ «ГОСУДАРСТВЕННЫЙ МУЗЕЙНО-ВЫСТАВОЧНЫЙ ЦЕНТР «РОСИЗО», УРАЛЬСКИЙ ФИЛИАЛ ГОСУДАРСТВЕННОГО МУЗЕЙНО-ВЫСТАВОЧНОГО ЦЕНТРА «РОСИЗО»

 

1. ВВЕДЕНИЕ

1.1. Важнейшим условием реализации целей деятельности в Уральском филиале Государственного музейно-выставочного центра «РОСИЗО» (далее «Уф РОСИЗО») либо Оператор) является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.

1.2. Политика в отношении обработки персональных данных в Уф РОСИЗО (далее – Положение) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в Уф РОСИЗО (далее – Организация), а также сведения о реализуемых требованиях к защите персональных данных.

1.3. Политика разработана в соответствии с действующим законодательством РФ.

1.4. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Детальный перечень персональных данных фиксируется в локальной нормативной документации Уф РОСИЗО.

1.5. Все обрабатываемые Уф РОСИЗО персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.

Настоящая Политика проводится Уф РОСИЗО в отношении обработки и обеспечения защиты персональных данных (далее по тексту – настоящая Политика) физических лиц (субъектов персональных данных) на основании статьи 24 Конституции РФ, главы 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ (в редакции от 21.07.2014) "О персональных данных", Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 13.07.2015) "Об информации, информационных технологиях и о защите информации", других нормативных актов РФ, Приказа от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Цель Политики заключается в обеспечении безопасности объектов защиты Организации от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных, а также доведении до лиц, предоставляющих свои персональные данные необходимой информации, позволяющей оценить, какие персональные данные и с какими целями обрабатываются Организацией, какие методы обеспечения их безопасности реализуются.

Политика обеспечивает защиту прав и свобод субъектов при обработке их персональных данных с использованием средств автоматизации или без использования таких средств, а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.

Настоящая Политика может быть изменена при изменении действующего законодательства РФ.

 

2. Перечень субъектов ПЕРСОНАЛЬНЫХ ДАННЫХ

Политика применяется в отношении всех персональных данных, которые могут быть получены Организацией в процессе деятельности, в том числе клиентов Организации.

 

3. Перечень персональных данных, обрабатываемых в Уф РОСИЗО

Перечень персональных данных, подлежащих защите определен в соответствии с законодательством Российской Федерации, нормативными и локальными актами Уф РОСИЗО  и представлен в настоящих Правилах.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Уф РОСИЗО не осуществляется.

 

4. Функции Общества при осуществлении обработки ПД

УФ РОСИЗО при осуществлении обработки персональных данных:

- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, нормативных актов УФ РОСИЗО и локальных нормативных актов УФ РОСИЗО в области персональных данных;

- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- назначает лицо, ответственное за организацию обработки персональных данных в УФ РОСИЗО;

- издает локальные и нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в УФ РОСИЗО;

- осуществляет ознакомление работников УФ РОСИЗО, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, нормативных и локальных актов УФ РОСИЗО» в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;

- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;

- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

- совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных. Клиенты, используя сервисы, услуги Организации, сообщив Организации свои персональные данные, в том числе при посредничестве третьих лиц, признают своё согласие на обработку персональных данных в соответствии с настоящей Политикой.

 

5. УСЛОВИЯ ОБРАБОТКИ ПДН, ПЕРЕДАЧА (ПРЕДОСТАВЛЕНИЕ. ДОСТУП) ПДН РАБОТНИКОВ И ДРУГИХ СУБЪЕКТОВ ПДН.

Обработка персональных данных в УФ РОСИЗО осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

УФ РОСИЗО без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

УФ РОСИЗО вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

В целях внутреннего информационного обеспечения УФ РОСИЗО может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

Доступ к обрабатываемым в УФ РОСИЗО» персональным данным разрешается только работникам УФ РОСИЗО, занимающим должности, включенные в Приказ должностей структурных подразделений УФ РОСИЗО, при замещении которых осуществляется обработка персональных данных.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных действующим законодательством

 

6. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПДН.

Персональные данные Клиентов обрабатываются и хранятся в информационных системах и на бумажных носителях в Организации.

Персональные данные Клиентов хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах в ПК работников, допущенных к обработке персональных данных Клиентов.

Хранение персональных данных Клиента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.

Сроки хранения персональных данных указаны в Приложении №1 (Перечень персональных данных)

В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке установленном в Положении и действующем законодательстве РФ. (Акт об уничтожении персональных данных)

 

7. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ ОБЩЕСТВА И ДРУГИХ СУБЪЕКТОВ ПДН

В соответствии с ст. 14 152 ФЗ «О персональных данных» Субъекты персональных данных имеют право на:

- полную информацию об их персональных данных, обрабатываемых в УФ РОСИЗО

- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;

- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отзыв согласия на обработку персональных данных;

- принятие предусмотренных законом мер по защите своих прав;

- обжалование действия или бездействия УФ РОСИЗО осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

- осуществление иных прав, предусмотренных законодательством Российской Федерации.

 

8. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РФ В ОБЛАСТИ ПДН

Контроль за соблюдением структурными подразделениями УФ РОСИЗО законодательства Российской Федерации, нормативных и локальных актов УФ РОСИЗО в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

Внутренний контроль за соблюдением структурными подразделениями администрации УФ РОСИЗО законодательства Российской Федерации, нормативных и локальных актов УФ РОСИЗО в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных УФ РОСИЗО

Персональная ответственность за соблюдение требований законодательства Российской Федерации, нормативных и локальных актов УФ РОСИЗО в области персональных данных в структурном подразделении УФ РОСИЗО, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях УФ РОСИЗО возлагается на руководителей этих подразделений.

 

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ

В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).

Администратор информационных систем и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

При нарушениях сотрудниками Организации, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.

Приведенные выше требования нормативных документов по защите информации должны быть отражены в Положениях Организации, осуществляющих обработку ПДн в ИСПДн и должностных инструкциях сотрудников Организации.

Необходимо внести в Положения о подразделениях Организации, осуществляющих обработку ПДн в ИСПДн сведения об ответственности их руководителей и сотрудников за разглашение и несанкционированную модификацию (искажение, фальсификацию) ПДн, а также за неправомерное вмешательство в процессы их автоматизированной обработки.

 

10. ПРИЛОЖЕНИЯ/СПИСОК ЛОКАЛЬНЫХ ДОКУМЕНТОВ.

Перечень персональных данных, обрабатываемых в УФ РОСИЗО.

 

11. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение являются:

1. Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн.

2. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 г. № 781.

3. «Порядок проведения классификации информационных систем персональных данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи РФ № 20 от 13.02.2008 г.

4. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687.

5. «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных си-стем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. № 512.

6. Нормативно-методические документы Федеральной службы по тех-ническому и экспертному контролю Российской Федерации (далее - ФСТЭК России) по обеспечению безопасности ПДн при их обработке в ИСПДн:

7 Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)

8. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)

9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)

10. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП).

 

Перечень персональных данных, обрабатываемых в Уф РОСИЗО

 

Наименование (вид) ПДн

Содержание   персональных данных

Категори ПДн

Источник получения

Основание для обработки ПДн

Технологический процесс, использующий вид ПДн

Срок хранения, условия прекращения обработки

Общедоступность

Первичные учетные данные клиента

ФИО клиента

4 категория

Субъект ПДн, договор

- Условия договора

- Заключение договора с клиентом
- Расторжение договора с клиентом

3 года после расторжения договора*

Не общедоступные

Сведения о реквизитах клиента

- адрес эл. почты- адрес  проживания/доставки
- номер телефона

3 категория

Субъект ПДн, договор

- Условия договора

- Заключение договора с клиентом
- Расторжение договора с клиентом

3 года после расторжения договора*

Не общедоступные

 

* Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПДн.
Категория 4 – обезличенные и (или) общедоступные персональные данные.

 

Ru
En