Изображения: Выкл Вкл Шрифт: A A A Цвет: A A A A Обычная версия

Централизованная библиотечная система
города Урай

Дорогие читатели! Наш сайт обновился, но ещё ведутся настройки и наполнение. Скоро всё будет доступно в полном объёме.

Положение

1. Общие положения

1.1. Настоящее Положение о порядке обработки персональных данных пользователей библиотек Централизованной библиотечной системы и гарантиях их защиты (далее – Положение) регулирует отношения, связанные с обработкой персональных данных пользователей библиотек Централизованной библиотечной системы (далее – ЦБС), осуществляемой в целях библиотечного обслуживания населения без использования средств автоматизации.

1.2. Настоящее Положение определяет порядок сбора, хранения, передачи и любого другого использования персональных данных пользователей библиотек ЦБС, гарантии конфиденциальности и защиты, предоставленных пользователями библиотек ЦБС сведений, в соответствии с действующим законодательством Российской Федерации.

1.3. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, федеральными законами «О библиотечном деле» от 29.12.1994 №78-ФЗ, «О персональных данных» от 27.07.2006 №152-ФЗ, другими определяющими случаи и особенности обработки персональных данных федеральными законами, нормативными актами Президента Российской Федерации, Правительства Российской Федерации, иных органов государственной власти, органов государственной власти Ханты-Мансийского автономного округа-Югры по отдельным вопросам, касающимися обработки персональных данных.

1.4.  Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.5. Персональные данные пользователей библиотек ЦБС относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения библиотечных документов, содержащих персональные данные пользователей.

1.6.   Разглашение персональных данных пользователя или их части допускается только в случаях, предусмотренных действующим законодательством Российской Федерации о безопасности, оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации, либо с отдельного письменного согласия пользователя.

2. Основные понятия

2.1. В настоящем Положении используются следующие основные понятия:

- персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

- оператор – Муниципальное автономное учреждение «Культура» (юридический адрес: 628285, Тюменская область, Ханты-Мансийский автономный округ-Югра, г.Урай, микрорайон 2, дом 91; адрес местонахождения: Тюменская область, Ханты-Мансийский автономный округ-Югра, г.Урай, микрорайон 3, дом 47), структурное подразделение Централизованная библиотечная система (адрес местонахождения: 628285, Тюменская область, Ханты-Мансийский автономный округ-Югра, г.Урай, микрорайон 2, дом 91);

- субъект персональных данных – пользователь библиотеки ЦБС (далее – пользователь);

- обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

- распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

- блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

 - информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

- общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

- отделы обслуживания библиотек ЦБС – структурные подразделения библиотек ЦБС непосредственно обслуживающие пользователей.

3. Принципы обработки персональных данных

3.1. Обработка персональных данных пользователей ЦБС должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

4. Состав персональных данных

4.1 Персональные данные пользователя – информация, необходимая оператору в связи с исполнением обязательств ЦБС и касающаяся конкретного пользователя.

4.2. Обработка персональных данных пользователя осуществляется с целью:

- обеспечения свободного доступа пользователя к информационным ресурсам библиотек ЦБС;

- обеспечения сохранности библиотечного имущества в соответствии с законодательством Российской Федерации;

- проведения статистического учета пользователей;

- анализа деятельности ЦБС.

4.3. Источником персональных данных служит формуляр пользователя, заполняемый на основании предъявленных документов, удостоверяющих личность пользователя или документов, удостоверяющих личность его законных представителей, и подтвержденный собственноручной подписью пользователя или его законного представителя, карточка регистрационной картотеки, поручительство от родителей (для детей до 14 лет).

Персональные данные законных представителей пользователя являются составляющей частью персональных данных пользователя.

4.4.  Состав персональных данных пользователей:

- фамилия, имя, отчество пользователя;

- профессия;

- адрес места жительства (регистрации, номер контактного телефона);

- год рождения;

- место учебы/работы;

- паспортные данные (серия, номер, когда и кем выдан).

5. Условия обработки персональных данных пользователей

5.1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

5.2. Оператор при обработке персональных данных пользователя обязан соблюдать следующие общие требования:

5.2.1. Обработка персональных данных пользователя осуществляется исключительно в целях соблюдения действующего законодательства Российской Федерации, выполнения договорных обязательств;

5.2.2. При определении объема и содержания обрабатываемых персональных данных пользователя оператор должен запрашивать только ту информацию, которая необходима для оказания услуг и при этом руководствоваться действующим законодательством Российской Федерации;

5.2.3. Персональные данные пользователя следует получать непосредственно у пользователя либо его законного представителя.

5.3. Обработка персональных данных пользователей осуществляется оператором с согласия пользователя, за исключением случаев, предусмотренных действующим законодательством Российской Федерации. В случае недееспособности пользователя согласие на обработку персональных данных дает в письменной форме законный представитель пользователя.

5.4. Письменное согласие пользователя на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес пользователя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование и адрес оператора, получающего согласие пользователя;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие пользователя;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись пользователя.

5.5.  К обработке, передаче и хранению персональных данных пользователей право доступа имеют лица, определенные приказом директора ЦБС.

5.6.  Передача персональных данных пользователя третьим лицам возможна только с согласия пользователя или в случаях, прямо предусмотренных действующим законодательством Российской Федерации.

5.7. При передаче персональных данных пользователя оператор должен соблюдать следующие требования:

- не сообщать персональные данные пользователя третьей стороне без письменного согласия пользователя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пользователя, также, если обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных и в других случаях, предусмотренных действующим законодательством Российской Федерации;

- предупреждать лиц, получающих персональные данные пользователей, о том, что персональные данные могут быть использованы только в целях, для которых они переданы, и требовать от этих лиц подтверждения того, что это требование соблюдено. Лица, получающие персональные данные пользователей, обязаны соблюдать режим секретности (конфиденциальности);

- предоставлять доступ к персональным данным пользователей только специально уполномоченным лицам, при этом указанные лица вправе получать только те персональные данные пользователей, которые необходимы им для выполнения конкретных функций.

5.8. Оператором должна обеспечиваться конфиденциальность персональных данных, за исключением случаев, когда обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

5.9. Недопустимо сообщать (передавать) персональные данные пользователя третьим лицам по телефону, факсу, электронной почте.

5.10. Персональные данные пользователя хранятся в отделах обслуживания библиотек ЦБС на бумажных носителях (формуляр пользователя, карточка регистрационной картотеки, поручительство от родителей (для детей до 14 лет).

5.11. Персональные данные пользователей обрабатываются при первичной регистрации и уточняются при ежегодной перерегистрации пользователей. В случае изменения персональных данных пользователя соответствующие изменения вносятся в формуляр пользователя, карточку регистрационной картотеки.

5.12. Срок хранения персональных данных пользователя – три года с момента последней перерегистрации пользователя. По истечения срока обработки персональные данные  на бумажном носителе (формуляр пользователя, карточка регистрационной картотеки) уничтожаются.

6. Права и обязанности пользователя

6.1. Пользователь имеет право:

- на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к пользователю, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных действующим законодательством Российской Федерации;

- требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

6.2. Право пользователя на доступ к своим персональным данным ограничивается в случаях, установленных действующим законодательством Российской Федерации.

6.3. Пользователь вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, в случае если пользователь считает, что оператор осуществляет обработку его персональных данных с нарушением требований действующего законодательства Российской Федерации, или иным образом нарушает его права и свободы.

6.4. Пользователь имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.5. Пользователь обязан:

- передавать оператору комплекс достоверных, документированных персональных данных;

- своевременно сообщать оператору об изменении своих персональных данных.

7. Обязанности оператора

7.1. При сборе персональных данных оператор обязан предоставить пользователю по его просьбе информацию, касающуюся обработки его персональных данных.

7.2. Оператор обязан разъяснить пользователю юридические последствия отказа предоставить свои персональные данные, если обязанность предоставления персональных данных установлена действующим законодательством Российской Федерации.

7.3. В случае если персональные данные были получены не от пользователя, за исключением случаев, если персональные данные были предоставлены оператору на основании действующего законодательства Российской Федерации или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить пользователю следующую информацию:

1) наименование и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) права пользователя, установленные действующим законодательством Российской Федерации.

7.4. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных пользователей от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

7.5. Предоставить пользователю в доступной форме сведения о наличии персональных данных, в указанных сведениях не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

7.6. Предоставить пользователю или его законному представителю при обращении либо при получении запроса пользователя или его законного представителя доступ к своим персональным данным. Запрос должен содержать номер основного документа, удостоверяющего личность пользователя или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пользователя или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

7.7. Оператор обязан в порядке, предусмотренном действующим законодательством Российской Федерации, сообщить пользователю или его законному представителю информацию о наличии персональных данных, относящихся к пользователю, а также предоставить возможность ознакомления с ними при обращении пользователя или его законного представителя либо в течение десяти рабочих дней с даты получения запроса пользователя или его законного представителя.

7.8. В случае отказа в предоставлении пользователю или его законному представителю при обращении либо при получении запроса пользователя или его законного представителя информации о наличии персональных данных о пользователе, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

7.9. Оператор обязан безвозмездно предоставить пользователю или его законному представителю возможность ознакомления с персональными данными, относящимися к пользователю, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении пользователем или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к пользователю и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить пользователя или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

7.10. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

7.11. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к пользователю, с момента такого обращения или получения такого запроса на период проверки.

7.12. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных пользователем или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

7.13. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить пользователя или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

7.14. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, и уведомить об этом пользователя или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

7.15. В случае отзыва пользователем согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и пользователем. Об уничтожении персональных данных оператор обязан уведомить пользователя.

8. Защита персональных данных

8.1.  Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

8.2. Защита персональных данных представляет собой жестко регламентированный процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий достаточно надежную безопасность информации в процессе деятельности ЦБС.

8.3. Защита персональных данных пользователей от неправомерного их использования или утраты должна быть обеспечена оператором за счет собственных средств в порядке, установленном действующим законодательством Российской Федерации.

8.4. Для обеспечения защиты персональных данных пользователей необходимо соблюдать ряд мер:

- ограничение и регламентация состава работников оператора, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, при которых исключалось бы бесконтрольное использование защищаемой информации;

- знание работником требований нормативно-методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами;

- определение порядка уничтожения информации;

- своевременное выявление нарушений требований разрешительной системы доступа сотрудниками ЦБС;

- проведение разъяснительной работы с сотрудниками ЦБС по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

8.5. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

9. Ответственность за нарушение норм,

регулирующих обработку и защиту персональных данных пользователей

9.1.   Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной данных и обязательное условие обеспечения эффективности этой системы.

9.2.  Каждый сотрудник, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.3.   Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пользователей, несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность и иную предусмотренную действующим законодательством Российской Федерации.

10. Заключительные положения

10.1. Настоящее Положение обязательно для исполнения всеми работниками ЦБС, имеющими доступ к персональным данным пользователей.

10.2. Допускается внесение изменений и дополнений в настоящее Положение.

10.3. Изменения и дополнения, вносимые в настоящие Положение, утверждаются генеральным директором МАУ «Культура».

Исполнитель:

Директор ЦБС Архипова В.Н.

Смотреть

Скачать