ПОЛОЖЕНИЕ
о порядке обработки персональных данных контрагентов муниципального автономного учреждения культуры «Дом культуры им. Ю. Гагарина» Находкинского городского округа

1. Общие положения

1.1 Настоящим Положением о порядке обработки персональных данныхконтрагентов муниципального автономного учреждения культуры «Дом культуры им. Ю. Гагарина» Находкинского городского округа» (далее – «Положение») регулируются отношения, связанные с обработкой персональных данных пользователей МАУК «ДК им. Ю. Гагарина» НГО (далее – «Оператор»), осуществляемой в процессе оказания услуг.

1.2 Настоящее Положение определяет порядок сбора, хранения, передачи и любого другого использования персональных данных контрагентов Оператора в соответствии с законодательством Российской Федерации и гарантии конфиденциальности предоставленных пользователями сведений.

1.3 Положение разработано в соответствии с Конституцией Российской Федерации, ФЗ РФ №152 от 27 июля 2006 года «О персональных данных».

1.4 Цель данного Положения - защита персональных данных контрагентов от несанкционированного доступа посторонних лиц и иных угроз.

1.5 Персональные данные контрагентов относятся к категории конфиденциальной информации.

1.6 Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения документов, содержащих персональные данные контрагентов.

1.7 Работники Оператора, в соответствии со своими должностными обязанностями, владеющие информацией о контрагентов, получающие, использующие и хранящие ее, несут ответственность, в соответствии с законодательством Российской Федерации, за нарушение режима защиты, порядка использования и хранения этой информации.

1.8 Неправомерность действий работников Оператора может быть установлена в судебном порядке по требованию субъектов, действующих на основании законодательства о персональных данных.

1.9 Настоящее Положение утверждается руководителем Оператора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным контрагентов.

 

2. Основные понятия

2.1  В настоящем Положении применяются следующие понятия:

  • контрагент – физическое лицо, пользующееся услугам Оператора;
  • оператор - муниципальное автономное учреждение культуры «Дом культуры им. Ю. Гагарина» Находкинского городского округа;
  • персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
  • обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
  • конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

 

3. Состав персональных данных

3.1 Персональные данные контрагентов - данные, необходимые работнику Операторадля обеспечения процесса оказания услуг (заключение договоров, заполнение личные карточек участников творческих коллективов и др.).

3.2 Состав персональных данных контрагентов:

- фамилия, имя, отчество;

- год рождения;

- место работы или учебы;

- адрес места жительства;

- домашний, рабочий, мобильный телефон;

- паспортные данные;

- данные свидетельства о рождении;

- данные свидетельства о государственной регистрации ИП;

- идентификационный номер налогоплательщика;

- банковские реквизиты;

- дата поступления в клубное формирование;

- сведения медицинского характера в случаях предусмотренных законодательством.

3.3 Личные карточки участников творческих коллективов являются конфиденциальными документами, хотя, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.

3.4 Обработка видео с камер системы видеонаблюдения учреждения осуществляется согласно Положения о системе видеонаблюдения в МАУК «ДК им. Ю. Гагарина» НГО.  

3.5 Все меры конфиденциальности при сборе, обработке и хранении персональных данных контрагентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

 

4. Обязанности работника Оператора

4.1 Получать все персональные данные контрагента у него самого.

4.2 Не требовать избыточные персональные данные контрагента, не обозначенные графами стандартной личной карточки или не предусмотренные формой договора.

4.3 Обеспечивать сохранность и защиту персональных данных контрагентов от неправомерного их использования или утраты.

4.4 Не допускать ответов на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте либо иным способом, ставящим под угрозу несанкционированное раскрытие (утрату, утечку) персональных данных контрагентов.

4.5 Обрабатывать персональные данные контрагентов только с их согласия либо без их согласия в следующих случаях:

-  персональные данные являются общедоступными;

- персональные данные относятся к состоянию здоровья физического лица и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пользователя невозможно;

-  по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

 

5. Обязанности контрагентов

5.1 Передавать Оператора достоверные персональные данные, состав которых установлен стандартной формой договора или личной карточки участника клубного формирования.

5.2 Своевременно сообщать работнику Оператора об изменении своих персональных данных.

 

6. Права контрагентов

6.1 Требовать исключения или исправления неверных или неполных персональных данных.

6.2 Иметь доступ к своим персональным данным.

 

7. Сбор, обработка, хранение, сроки хранения и доступ к персональным данным

7.1 Сбор персональных данных допускается только для достижения установленных Политикой в области обработки и защиты персональных данных МАУК «ДК им. Ю. Гагарина» НГО целей:

- создание и развитие условий для формирования и удовлетворения культурных и духовных потребностей населения, организация досуга;

- создание условий для эстетического развития творческого потенциала среди различных категорий населения в сфере досуга;

- оплаты услуг физических и юридических лиц по договорам гражданско-правового характера (реализация договорных обязательств);

- размещение ПДн на официальном сайте учреждения;

- освещение деятельности учреждения в СМИ;

- оказание услуг, в соответствии с Уставом Оператора.

7.2 Все персональные данные следует получать непосредственно у контрагента.

7.3 Допускается сбор только персональных данных установленных настоящим Положением.

7.4 Персональные данные контрагентов (членов клубных формирований), которые обрабатываются на компьютере:

- Ф.И.О;

- дата вступления в творческий коллектив.

7.5 Персональные данные контрагентов (физических лиц), которые обрабатываются с на компьютере и выводятся на принтер:

- Ф.И.О;

- паспортные данные;

- сведения о идентификационном номере налогоплательщика;

- адрес места жительства;

- данные свидетельства о государственной регистрации ИП;

- банковские реквизиты.

7.6 Все остальные персональные данные обрабатываются и хранятся на бумажных носителях.

7.7 Документы, имеющие персональные данные в традиционном и в электронном варианте хранятся 5 лет в хорошо защищенном от несанкционированного доступа к ним посторонних лиц, если иное не установлено законами Российской Федерации.

7.8 Перечень мест хранения материальных носителей персональных данных и ответственных лиц утверждается приказом руководителя Оператора.

7.9 По истечении срока хранения персональные данные уничтожаются.

7.10 К получению, обработке и хранению персональных данных пользователей Учреждения могут иметь доступ работники:

- административного состава;

- руководители творческих коллективов;

- сторожа (вахтеры)(просмотр видео с камер системы видеонаблюдения в режиме реального времени).

7.11 Список работников, уполномоченных на обработку персональных данных контрагентов и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты персональных данных утверждается приказом руководителя.

 

8. Защита персональных данных

8.1 Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

8.2 Для защиты персональных данных контрагентов необходимо соблюдать ряд мер:

  • наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
  • назначение ответственных за организацию обработки персональных данных;
  • определение работников уполномоченных на обработку персональных данных с ознакомлением с требованиями Федерального закона и локальных нормативных актов;
  • провести тщательный анализ и возможное сокращение перечня получаемых и обрабатываемых персональных данных;
  • все файлы (папки), содержащие персональные данные контрагентов, должны быть защищены паролем;
  • определение состава работников, имеющих право доступа к конфиденциальным документам и базам данных приказом руководителя Оператора;
  • уничтожения персональных данных только согласно установленному в Учреждении порядку;
  • проведение воспитательной и разъяснительной работы с работниками по предупреждению распространения персональных данных пользователей, утраты сведений при работе с электронными базами данных;
  • минимизирование обработки персональных данных с использованием средств автоматизации;
  • использование лицензированных антивирусных программ;
  • определение и оптимизация мест хранения и режима допуска к персональным данным;
  • при передаче данных третьим лицам минимизировать количество передаваемых сведений (только Ф.ИО.) и принять меры по их защите (наличие договора на обслуживание Учреждения и соглашения о соблюдении конфиденциальности.

8.3 Работники при реализации деятельности Учреждения, в случае, если для её осуществления необходим сбор персональных данных и не заключается договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, вправе обрабатывать персональные данные физических лиц только с их письменного согласия.

8.4 Письменное согласие физического лица (пользователя) на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

-  наименование и адрес Оператора, получающего согласие субъекта персональных данных;

-  цель обработки персональных данных;

-  перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

-  срок, в течение которого действует согласие, а также порядок его отзыва.

8.5 Форма заявления о согласии лица на обработку персональных данных разрабатывается и утверждается приказом руководителем Оператора.

8.6  Согласие физического лица не требуется в следующих случаях:

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

-  обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-  обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, при условии обязательного обезличивания персональных данных;

-  осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

8.7 Работники, имеющие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 

9. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

9.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

9.2 Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту персональных данных пользователей, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

10. Заключительные положения

10.1 Настоящее Положение вступает в силу с момента его утверждения руководителем Оператора.

10.2 Копия Положения размещается на первом этаже здания для ознакомления контрагентов.

10.3 Изменения и дополнения в настоящее Положение могут быть внесены на основании приказа руководителя Оператора.