положение о защите персональных данных

Приложение №1

к приказу Муниципального бюджетного учреждения культуры «Кадуйский районный центр народной традиционной культуры и ремесел»

от 25 декабря 2015 г. №63

ПОЛОЖЕНИЕ

о защите персональных данных в муниципальном бюджетном учреждении культуры

«Кадуйский районный центр народной традиционной культуры и ремесел»

Общие положения

1.1. Настоящее Положение о защите персональных данных в муниципальном бюджетном учреждении культуры «Кадуйский районный центр народной традиционной культуры и ремесел» (далее - Положение) разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона Российской Федерации "О государственной гражданской службе Российской Федерации", Федерального закона "О персональных данных" (далее - Федеральный закон) и других нормативных правовых актов Российской Федерации.

1.2. Настоящее Положение устанавливает принципы обработки персональных данных в муниципальном бюджетном учреждении культуры «Кадуйский районный центр народной традиционной культуры и ремесел» (далее – МБУК «ЦНТКиР»), цели обработки персональных данных, перечень персональных данных, обрабатываемых в МБУК «ЦНТКиР», категории субъектов, персональные данные которых обрабатываются, правила обработки и хранения персональных данных, права и обязанности сторон, порядок доступа к персональным данным и их передачу, защиту персональных данных, ответственность за разглашение конфиденциальной информации, связанной с персональными данными.

1.3. Настоящее Положение разработано в целях обеспечения выполнения обязанностей по защите персональных данных субъектов персональных данных МБУК «ЦНТКиР» от несанкционированного доступа и разглашения, неправомерного их использования или утраты. Персональные данные являются конфиденциальной, строго охраняемой информацией.

1.4. Основные термины и определения, применяемые в настоящем Положении:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

3) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

4) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

5) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

6) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

7) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

8) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные данным субъектом.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных или по решению МБУК «ЦНТКиР» либо по решению суда или иных уполномоченных государственных органов.

1.5. К субъектам персональных данных МБУК «ЦНТКиР» относятся лица - носители персональных данных, передавшие свои персональные данные МБУК «ЦНТКиР» (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания.

1.6. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Министерства.

1.7. Сбор, хранение, использование и распространение персональных данных лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законодательством.

1.8. Должностное лицо МБУК «ЦНТКиР», в обязанности которого входит организация работы с персональными данными субъектов персональных данных, обязано обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

1.9. Настоящее Положение и изменения к нему утверждаются приказом МБУК «ЦНТКиР» и являются обязательными для исполнения всеми сотрудниками, имеющими доступ к персональным данным субъектов персональных данных. Для субъектов персональных данных данное Положение должно быть доступно для ознакомления (размещено в сети общего пользования на сайте МБУК «ЦНТКиР»).

Принципы обработки персональных данных

2.1. Обработка персональных данных в МБУК «ЦНТКиР» осуществляется на основе следующих принципов:

- законности целей и способов обработки персональных данных и добросовестности;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям МБУК «ЦНТКиР»;

- осуществление обработки только тех персональных данных, которые отвечают целям их обработки;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

2.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи МБУК «ЦНТКиР» своих персональных данных.

2.4. Оператором персональных данных является МБУК «ЦНТКиР», которому субъект персональных данных добровольно передает во владение свои персональные данные. МБУК «ЦНТКиР» выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

2.5. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику и (или) оператору персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.

2.6. Получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и обучающихся, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Цели обработки персональных данных

3.1. Обработка персональных данных субъекта персональных данных осуществляется исключительно в целях обеспечения соблюдения Конституции Российской Федерации, Федерального закона "О государственной гражданской службе Российской Федерации", Трудового кодекса Российской Федерации, других законов и иных нормативных правовых актов, содействия в трудоустройстве и прохождении службы, в продвижении по службе, обучении, обеспечения личной безопасности служащего и членов его семьи, обеспечения сохранности принадлежащего ему имущества, учета результатов исполнения им должностных обязанностей и обеспечения сохранности имущества муниципального учреждения, контроля количества и качества выполняемой работы, исполнения служебного контракта, трудового договора, иных договоров и соглашений, заключенных в МБУК «ЦНТКиР».

Перечень персональных данных, обрабатываемых в МБУК «ЦНТКиР»

4.1. В МБУК «ЦНТКиР» обрабатываются следующие персональные данные:

- фамилия, имя, отчество;

- дата и место рождения;

- пол;

- образование, повышение квалификации или наличие специальных знаний;

- профессия (специальность);

- сведения о трудовой деятельности;

- состояние в браке, состав семьи, сведения о родственниках;

- паспортные данные;

- адрес регистрации и фактического проживания;

- номер телефона;

- идентификационный номер;

- номер страхового свидетельства государственного пенсионного страхования;

- сведения о воинском учете;

- фотография;

- другие сведения, необходимые для включения в анкету, утвержденную распоряжением Правительства Российской Федерации от 26 мая 2005 года №667-р;

- сведения о прохождении гражданской службы;

- сведения о состоянии здоровья, относящиеся к вопросу о возможности выполнения служебных обязанностей;

- сведения, необходимые для передачи в налоговую инспекцию и пенсионный фонд;

- сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также сведения о доходах, имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей.

4.2. Персональные данные являются конфиденциальной информацией.

Документы, содержащие персональные данные, являются конфиденциальными, однако, учитывая их массовость и определенное место обработки и хранения, соответствующий гриф ограничения на них не ставится.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.

Категории субъектов, персональные данные которых обрабатываются

К субъектам, персональные данные которых обрабатываются в МБУК «ЦНТКиР», относятся:

-работники МБУК «ЦНТКиР»;

- лица, претендующие на замещение вакантной должности, на включение в кадровый резерв на замещение вакантной должности;

- лица, выполняющие работы по договорам гражданско-правового характера, а также лица, состоящие в иных договорных отношениях с МБУК «ЦНТКиР»;

- лица, представляемые к награждению ведомственными наградами, государственными наградами Российской Федерации;

- лица, обращающиеся в МБУК «ЦНТКиР» с целью получения государственных услуг, представляемых МБУК «ЦНТКиР»;

- лица, обращающиеся в МБУК «ЦНТКиР» по вопросам, отнесенным к компетенции МБУК «ЦНТКиР».

Правила обработки и хранения персональных данных

6.1. МБУК «ЦНТКиР» получает сведения о персональных данных, предоставленных субъектом персональных данных из следующих документов:

- паспорт или иной документ, удостоверяющий личность;

- трудовая книжка;

- страховое свидетельство государственного пенсионного страхования;

- свидетельство о постановке на учет в налоговом органе, содержащее сведения об идентификационном номере налогоплательщика;

- документы воинского учета, содержащие сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;

- документ об образовании, о квалификации или о наличии специальных знаний или специальной подготовки, содержащий сведения об образовании, профессии;

- иные документы и сведения, предоставляемые субъектом персональных данных при приеме на работу, а также в процессе работы.

Субъект персональных данных обязан представлять МБУК «ЦНТКиР» достоверные сведения о себе. МБУК «ЦНТКиР» имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

6.2. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи МБУК «ЦНТКиР» своих персональных данных. Все персональные данные субъекта персональных данных МБУК «ЦНТКиР» получает непосредственно у указанных субъектов, за исключением персональных данных лиц, сведения о которых представляют в МБУК «ЦНТКиР» лица, обращающиеся в МБУК «ЦНТКиР» с целью представления к награждению (соответствующие персональные данные предоставляются их оператором с согласия субъекта персональных данных в соответствии с законодательством).

6.3. Если персональные данные субъекта персональных данных возможно получить исключительно у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. МБУК «ЦНТКиР» должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных представить письменное согласие на их получение.

6.4. Условием обработки персональных данных субъекта персональных данных является его письменное согласие. В МБУК «ЦНТКиР» утверждается Типовая форма согласия на обработку персональных данных гражданских служащих МБУК «ЦНТКиР», иных субъектов персональных данных.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

6.5. Согласия субъекта персональных данных на обработку его персональных данных не требуется в следующих случаях:

- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов персональных данных, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- обработка персональных данных осуществляется в целях исполнения трудового или иного договора или соглашения между работником и МБУК «ЦНТКиР»;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия при данных обстоятельствах невозможно;

- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.

6.6. Для обработки персональных данных, содержащихся в письменном согласии субъекта персональных данных на обработку его персональных данных, дополнительное согласие не требуется.

6.7. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в письменной форме дает его законный представитель.

В случае смерти субъекта персональных данных согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано субъектом персональных данных при его жизни.

6.8. Персональные данные в МБУК «ЦНТКиР» обрабатываются с использованием средств автоматизации и (или) без использования таких средств.

6.9. Круг лиц, допущенных к работе с персональными данными субъектов персональных данных, определяется правовым актом МБУК «ЦНТКиР».

6.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели их обработки.

6.11. Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.

Помещения, в которых хранятся персональные данные субъектов персональных данных, в рабочее время при отсутствии в них работников должны быть закрыты.

Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих работников.

Права и обязанности сторон

7.1. Субъект персональных данных обязан:

- передавать в МБУК «ЦНТКиР» или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Федеральным законом "О государственной гражданской службе Российской Федерации", трудовым законодательством, иными законами Российской Федерации, иными нормативными правовыми актами, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства, семейном положении и др.;

- своевременно, в срок, не превышающий одного месяца, сообщать в МБУК «ЦНТКиР» об изменении своих персональных данных.

7.2. Субъект персональных данных имеет право:

7.2.1. На полную информацию о своих персональных данных и об их обработке.

7.2.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю МБУК «ЦНТКиР» при личном обращении либо при получении запроса. Правила рассмотрения запросов субъектов персональных данных или их представителей утверждаются нормативным правовым актом МБУК «ЦНТКиР».

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в следующих случаях:

- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

- предоставление персональных данных нарушает права и законные интересы третьих лиц.

7.2.3. Требовать от МБУК «ЦНТКиР» исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона. Указанное требование должно быть оформлено письменным заявлением субъекта персональных данных на имя Директора Муниципального бюджетного учреждения культуры «Кадуйскоий районный центр народной традиционной культуры и ремесел», (далее - Директор). При отказе работодателя исключить или исправить персональные данные субъекта персональных данных последний имеет право заявить в письменном виде МБУК «ЦНТКиР» о своем несогласии с соответствующим обоснованием такого несогласия.

Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.

7.2.4. Требовать об извещении МБУК «ЦНТКиР» всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.

7.2.5. Получать сведения о МБУК «ЦНТКиР», о месте его нахождения, о наличии у МБУК «ЦНТКиР» персональных данных, относящихся к соответствующему субъекту персональных данных.

7.2.6. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

- подтверждение факта обработки персональных данных в МБУК «ЦНТКиР», а также цель такой обработки;

- способы обработки персональных данных, применяемые МБУК «ЦНТКиР»;

- сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных.

7.2.7. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или судебном порядке любые неправомерные действия или бездействия МБУК «ЦНТКиР» при обработке и защите персональных данных.

7.3. МБУК «ЦНТКиР» обязано безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлению субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах МБУК «ЦНТКиР» обязано уведомить соответствующего субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.

МБУК «ЦНТКиР» обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в установленные законодательством сроки.

7.4. В случае выявления недостоверных персональных данных или неправомерных действий с ними МБУК «ЦНТКиР» обязано осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности персональных данных МБУК «ЦНТКиР» на основании соответствующих документов обязано уточнить персональные данные и снять их блокирование.

7.5. В случае выявления неправомерных действий с персональными данными МБУК «ЦНТКиР» в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений МБУК «ЦНТКиР» в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных МБУК «ЦНТКиР» обязано уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

7.6. В случае достижения цели обработки персональных данных МБУК «ЦНТКиР» обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных.

7.7. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных МБУК «ЦНТКиР» обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон и (или) федеральным законом. Об уничтожении персональных данных МБУК «ЦНТКиР» обязано уведомить субъекта персональных данных.

7.8. МБУК «ЦНТКиР» обязано проводить внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством.

Порядок доступа к персональным данным субъекта и их передача

8.1. Внутренний доступ (доступ внутри) МБУК «ЦНТКиР» к персональным данным субъектов персональных данных имеют сотрудники МБУК «ЦНТКиР», которым эти данные необходимы для выполнения должностных обязанностей.

Перечень должностей служащих, имеющих право доступа к персональным данным субъекта персональных данных, утверждается нормативным правовым актом МБУК «ЦНТКиР».

Список пользователей, допущенных к работе в автоматизированных и информационных системах персональных данных, утверждается МБУК «ЦНТКиР» или лицом, его замещающим.

После прекращения юридических отношений с субъектом персональных данных (увольнения работника и т.п.) документы, содержащие его персональные данные, хранятся в МБУК «ЦНТКиР»в течение сроков, установленных архивным и иным законодательством Российской Федерации.

При переводе служащего на другую должность в другом учреждении, его личное дело передается в учреждение по новому месту замещения должности.

Личные дела сотрудников, уволенных хранятся кадровой службой МБУК «ЦНТКиР» в течение 10 лет со дня увольнения после чего передаются в архив.

8.2. Внешний доступ.

К числу массовых потребителей персональных данных вне МБУК «ЦНТКиР» относятся следующие государственные и негосударственные структуры:

- налоговые органы;

- правоохранительные органы;

- органы лицензирования и сертификации;

- органы прокуратуры и ФСБ;

- органы статистики;

- страховые агентства;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения государственных и муниципальных органов управления.

Надзорно-контрольные органы имеют доступ к информации исключительно в сфере своей компетенции.

8.3. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц, и иных случаев, установленных законодательством.

8.4. МБУК «ЦНТКиР» обязано сообщать персональные данные субъекта персональных данных по надлежаще оформленным запросам суда, прокуратуры, иных правоохранительных органов.

8.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления работника.

8.6. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.

8.7. В случае развода бывшая супруга (супруг) имеют право обратиться в МБУК «ЦНТКиР» с письменным запросом о размере заработной платы работника без его согласия в соответствии с нормами трудового и семейного законодательства.

8.8. При передаче персональных данных МБУК «ЦНТКиР» обязано соблюдать следующие требования:

8.8.1. Не сообщать персональные данные субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами.

8.8.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.

8.8.3. Предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.

8.8.4. Не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о пребывании на государственной гражданской службе, а также возможности выполнения работником трудовой функции.

8.8.5. Передавать персональные данные субъекта персональных данных представителям работников и иных категорий субъектов персональных данных в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

8.8.6. Разрешать доступ к персональным данным исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций).

8.9. Ответы на правомерные письменные запросы других предприятий, учреждений и организаций даются МБУК «ЦНТКиР» в письменной форме, в том объеме, который позволяет не разглашать излишний объем персональных сведений.

Защита персональных данных

9.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе осуществления деятельности МБУК «ЦНТКиР».

9.2. МБУК «ЦНТКиР» при обработке персональных данных обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленными Правительством Российской Федерации.

9.3. Мероприятия по защите персональных данных подразделяются на внутреннюю и внешнюю защиту.

9.3.1. Внутренняя защита включает следующие организационно-технические мероприятия:

1) регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководством и специалистами МБУК «ЦНТКиР»;

2) для защиты персональных данных в МБУК «ЦНТКиР» применяются следующие принципы и правила:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

- реализация разрешительной системы допуска работников МБУК «ЦНТКиР» к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

- резервирование технических средств, дублирование массивов и носителей информации;

- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

- использование защищенных каналов связи;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание сотрудниками требований нормативно-методических документов по защите персональных данных;

- организация порядка уничтожения информации;

- своевременное выявление нарушений требований разрешительной системы доступа сотрудниками подразделения;

- воспитательная и разъяснительная работа с работниками МБУК «ЦНТКиР» по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

- защита паролями доступа персональных компьютеров, на которых содержатся персональные данные;

3) личные дела работников могут выдаваться только Директору, Методистам по традиционной культуре, с уведомлением ответственного за организацию обработки персональных данных, а также в исключительных случаях, по письменному разрешению Директора.

9.3.2. Внешняя защита включает следующие организационно-технические мероприятия:

1) для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией;

2) целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.;

3) для защиты персональных данных соблюдается ряд мер организационно-технического характера:

- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

9.4. Порядок конкретных мероприятий по защите персональных данных с использованием или без использования электронно-вычислительной машины определяется правовым актом МБУК «ЦНТКиР», иными локальными актами.

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

10.1. Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.

10.2. МБУК «ЦНТКиР» несет ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

10.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую, уголовную и иную предусмотренную законодательством ответственность.

10.4. Каждый сотрудник МБУК «ЦНТКиР», получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителя и конфиденциальность полученной информации.

10.5. Должностные лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, если иное не предусмотрено законом.

Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.

10.6. Неправомерность деятельности МБУК «ЦНТКиР» по сбору и использованию персональных данных может быть установлена в судебном порядке.