Департамент культуры Тюменской области

Государственное автономное учреждение культуры Тюменской области

«Информационно – аналитический центр

культуры и искусства»

                                                          УТВЕРЖДАЮ

                                                          Директор ГАУК ТО «ИАЦКиИ»

                                                          ________________И.С. Грязнова

                                                   ___________________ 20___ г.

ПОЛОЖЕНИЕ

об обработке персональных данных

Тюмень

2017 г.

1. Общие положения

1.1. Положение об обработке персональных данных (далее – Положение) издано и применяется в Государственном автономном учреждении культуры Тюменской области «Информационно-аналитический центр культуры и искусства» (далее – Оператор, учреждение) в соответствии с п. 2 ч. 1 ст. 18.1Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ).

Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.2. Целью обработки персональных данных является:

- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

- осуществление деятельности Оператора, установленной в его Уставе.

1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:

1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов;

2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

3) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22.12.2008г. № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

1.4. Обработка организована Оператором на принципах:

- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- обработки только персональных данных, которые отвечают целям их обработки;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

1.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом№ 152-ФЗ и настоящим Положением.

1.6. Обработка персональных данных допускается с использованием средств автоматизации и без использования средств автоматизации.

1.7. В отношении персональных данных субъекта сохраняется их конфиденциальность, кроме случаев добровольного предоставления субъектом информации о себе для общего доступа неограниченному кругу лиц.

При утрате или разглашении персональных данных Оператор незамедлительно информирует субъекта об утрате или разглашении персональных данных.

1.8. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с данным Положением и изменениями к нему.

1.9. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

1.10. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

1.11. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.

1.12. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст.19 Федерального закона № 152-ФЗ.

2. Категории персональных данных

2.1. Специальные категории персональных данных.

2.1.1. В процессе осуществления деятельности учреждения возможна обработка любых категорий персональных данных, за исключением специальных категорий.

2.1.2. Специальные категории персональных данных составляют сведения:

- о состоянии здоровья;

- о расовой и национальной принадлежности;

- о политических взглядах;

- о религиозных или философских убеждениях;

- об интимной и частной жизни;

- о судимости.

2.1.3. Все персональные данные, за исключением данных специальной категории относятся к обычным категориям персональных данных.

2.1.4. Обработка специальных категорий персональных данных допускается:

- при обработке информации о состоянии здоровья в случаях, предусмотренных нормативными правовыми актами;

- при обработке информации о частной жизни в предусмотренных законодательством случаях и порядке.

2.1.5. Обработка специальных категорий персональных данных допускается только с письменного согласия их субъекта.

2.2. Общедоступные и конфиденциальные персональные данные.

2.2.1. Все персональные данные являются конфиденциальными, за исключением общедоступных персональных данных.

2.2.2. Общедоступными персональными данными являются сведения, к которым обеспечен свободный доступ с согласия субъекта таких персональных данных или в силу прямого указания закона.

2.2.3. Личная и семейная тайны субъекта персональных данных:

- персональные данные о частной (интимной) жизни субъекта, состоянии здоровья, диагнозе заболевания составляют личную тайну субъекта.

- персональные данные об усыновлении (удочерении), о диагнозе заболевания и состоянии здоровья членов семьи субъекта, их частной (интимной) жизни составляют семейную тайну.

2.3. Биометрические и не биометрические персональные данные.

2.3.1. При осуществлении своей деятельности Оператор может осуществлять обработку биометрических персональных данных в порядке, предусмотренном нормативными правовыми актами и настоящим Положением.

2.3.2. Биометрическими персональными данными являются сведения, характеризующие физиологические особенности человека, позволяющие установить его личность, а именно.

2.3.3. В случае необходимости обработка биометрических данных может осуществляться только с письменного согласия их субъекта.

2.3.4. При необходимости обработки биометрических персональных данных вне информационных систем в учреждении обеспечивается соблюдение требований, предусмотренных постановлением Правительства Российской Федерации от 06.07.2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

3. Куратор обработки персональных данных

3.1. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных, именуемого далее «куратор ОПД».

3.2. Куратор ОПД получает указания непосредственно от директора учреждения и подотчетен ему.

3.3. Куратор ОПД обязан:

1) использовать полученную информацию исключительно для целей, указанных в настоящем Положении;

2) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

3) осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

4) доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

5) организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;

6) в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

3.4. Куратор ОПД вправе:

3.4.1. иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:

1) цели обработки персональных данных;

2) категории обрабатываемых персональных данных;

3) категории субъектов, персональные данные которых обрабатываются;

4) правовые основания обработки персональных данных;

5) перечень действий с персональными данными, общее описание используемых у Оператора способов обработки персональных данных;

6) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона № 152-ФЗ;

7) дату начала обработки персональных данных;

8) срок или условия прекращения обработки персональных данных;

9) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

3.4.2. оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона № 152-ФЗ. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных согласно ч. 2 ст. 22 Федерального закона № 152-ФЗ;

3.4.3. по согласованию с директором учреждения привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников Оператора с возложением на них соответствующих обязанностей.

4. Условия обработки персональных данных

4.1. Условия обработки персональных данных Оператором:

4.1.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

4.1.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

4.1.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

4.1.4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

4.1.5. обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

4.1.6. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15Федерального закона № 152-ФЗ, при условии обязательного обезличивания персональных данных;

4.1.7. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

4.1.8. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5. Требования к обработке персональных данных

5.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

5.2. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование и адрес Оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5.3. Обработка персональных данных без согласия их субъекта может осуществляться в следующих случаях:

- в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- если доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных либо по его просьбе (общедоступные персональные данные);

- если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом;

- в других случаях, предусмотренных законодательством.

5.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Федеральным законом № 152-ФЗ.

6. Получение персональных данных

6.1. Оператор при осуществлении своей деятельности вправе получать персональные данные в порядке, предусмотренном законодательством и настоящим Положением:

6.1.1. Объем и содержание получаемых сведений должен соответствовать Конституции РФ и федеральным законам.

6.1.2. Персональные данные могут быть получены только у самого субъекта персональных данных.

6.1.3. Получить персональные данные у третьего лица можно только с письменного согласия субъекта, если невозможно получить информацию у него самого в порядке, предусмотренном п. 6.2. настоящего Положения.

6.1.4. Не допускается принятие решений, затрагивающих интересы субъекта, на основе данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

6.2. Для получения персональных данных от третьих лиц необходимо уведомить субъекта в письменной форме о получении сведений у третьей стороны, с указанием целей получения и их правовых оснований, предполагаемых источниках и способах получения персональных данных, о характере подлежащих получению сведений, о правах субъекта и последствиях отказа дать письменное согласие на получение сведений.

7. Хранение персональных данных

7.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Инструкцией по делопроизводству Оператора.

7.2. Хранение персональных данных осуществляется в порядке, исключающем их утрату или неправомерное использование.

7.3. Все персональные данные хранятся в недоступном для неуполномоченных лиц месте.

7.4. Документы, содержащие персональные данные, передаются в архив в сроки, предусмотренные законом, и в соответствии с процедурой, установленной нормативными актами.

7.5. При достижении целей обработки персональные данные подлежат уничтожению, за исключением случая, когда персональные данные подлежат сохранению в силу требований нормативных правовых актов.

8. Передача персональных данных

8.1. Передача персональных данных может осуществляться как в учреждении, так и другим лицам, в порядке, установленном законодательством и настоящим Положением.

8.1.1. При передаче персональных данных третьим лицам учреждение должно соблюдать следующие требования:

8.1.1.1. Персональные данные предоставляются только с письменного согласия субъекта, за исключением случаев, предусмотренных законодательством и настоящим Положением;

8.1.1.2. Получение персональных данных без письменного согласия субъекта персональных данных возможно в случаях, когда предоставление персональных данных необходимо в целях предупреждения угрозы жизни и здоровью (в частности, при несчастном случае на производстве) и в иных случаях, установленных федеральными законами;

8.1.1.3. Предупреждение лиц, получивших доступ к персональным данным о возможности использования сведений только в определенных Оператором целях;

8.1.1.4. Соблюдение режима конфиденциальности получателями персональных данных.

8.2. В учреждении персональные данные могут быть предоставлены только специально уполномоченным лицам и только в том объеме, который необходим им для выполнения конкретных функций.

9. Способы обработки персональных данных

9.1. Обработка персональных данных с использованием средств автоматизации:

9.1.1. При автоматизированной обработке персональных данных не допускается принятие решения, основанного исключительно на автоматизированной обработке, если такое решение может привести к определенным правовым последствиям, а также иным образом затрагивает права и законные интересы их субъекта.

9.1.2. Принятие решения исключительно на основании автоматизированной обработки персональных данных допускается только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

9.1.3. Субъект персональных данных может заявить возражение против принятия решения исключительно на основании автоматизированной обработки его персональных данных. Оператор в течение семи рабочих дней обязан рассмотреть представленное возражение и сообщить субъекту о результатах его рассмотрения.

9.2. Обработка персональных данных без использования средств автоматизации осуществляется с учетом положений Постановления Правительства РФ от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и положений Федерального закона № 152-ФЗ.

10. Контроль, ответственность за нарушение

или неисполнение Положения

10.1. Контроль за исполнением Положения возложен на куратора ОПД.

10.2. Нарушение настоящего Положения влечет за собой применение юридической ответственности в соответствии с федеральными законами.

10.3. Лица, нарушающие или не исполняющие требования Положения, могут быть привлечены к дисциплинарной, административной или уголовной ответственности.