Затверджую
В. о. директора КЗ «Світловодська МЦБС»
___________________ Олена РИБАЧУК
23 січня 2024 р.
Положення про обробку персональних даних
користувачів структурних підрозділів Комунального закладу
«Світловодська міська централізована бібліотечна система»
1. Загальні положення
1.1. Це Положення регулює правовідносини, що виникають в процесі збору, збереження, використання та знищення персональних даних користувачів бібліотек.
1.2. Метою цього Положення є дотримання прав користувачів на недоторканість приватного життя, особисту та сімейну таємницю при обробці його персональних даних.
1.3. Вимоги цього Положення стосуються всіх співробітників КЗ «Світловодська МЦБС», (в т. ч. структурних підрозділів).
1.4. Державна реєстрація баз персональних даних (далі - БПД) здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».
2. Визначення термінів
2.1. У цьому Положенні нижче наведені терміни, що вживаються в такому значенні:
база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
відповідальна особа – визначена особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до законодавства України про захист ПД;
володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
Державний реєстр баз персональних даних – єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних; загальнодоступні джерела персональних даних – довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації, які містять персональні дані, розміщені та опубліковані з відома суб’єкта персональних даних. Не вважаються загальнодоступними джерелами персональних даних соціальні мережі та Інтернет-ресурси, в яких суб’єкт персональних даних залишають свої персональні дані (окрім випадків, коли суб’єктом персональних даних прямо зазначено, що персональні дані розміщені з метою їх вільного поширення та використання);
згода суб'єкта персональних даних – будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
знеособлення персональних даних – вилучення відомостей, які дають змогу ідентифікувати особу;
обробка персональних даних – будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник бази персональних даних – фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
суб'єкт персональних даних – фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
третя особа – будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону;
особливі категорії даних – персональні дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.
3. Принципи обробки персональних даних читачів
3.1 Збір персональних даних читачів бібліотек МЦБС проводиться з метою:
§ підвищення оперативності та якості обслуговування читачів, організації адресного, диференційного та індивідуального їх обслуговування;
§ забезпечення збереження бібліотечного майна у відповідності до Закону України Про бібліотеки і бібліотечну справу».
3.2. Персональні дані обробляються бібліотекою на підставі Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297–VI та з письмової згоди користувача, яка підтверджується власноручним підписом або підписом законного представника у формулярі читача.
3.3. Джерелом персональних даних є формуляр (реєстраційна картка) читача, яка заповнюється ним особисто або з його слів бібліотекарем при оформленні в бібліотеку та засвідчується власноручним підписом користувача.
3.4. Персональні дані користувачів є конфіденційною інформацією, що не підлягають розголошенню, та не можуть бути використані бібліотекою чи її працівниками з іншою метою, що не зазначена в п. 2.1 цього Положення.
3.5. Розголошення персональних даних користувача або їх частини допускається тільки у випадках, передбачених чинним законодавством України про безпеку, про оперативно-розшукову діяльність або з письмової згоди користувача.
3.6. Перелік персональних даних, які заносяться до формуляру (реєстраційної картки) користувача:
§ Прізвище, ім’я, по батькові
§ Стать
§ Рік народження
§ Паспортні дані (серія, номер)
§ Відомості про місце реєстрації та місце фактичного проживання
§ Телефон
§ Відомості про освіту (вища, середня та ін.)
§ Місце роботи, навчання
§ Посада
4. Умови обробки персональних даних користувачів
4.1. Персональні дані користувачів зберігаються у відділі обслуговування кожної бібліотеки МЦБС у:
§ електронних реєстраційних картотеках – у визначеному комп’ютері відділу обслуговування кожної бібліотеки МЦБС;
§ на паперових носіях – у формулярі читача у спеціалізованих меблях – кафедрах для обслуговування користувачів.
4.2. Право доступу до персональних даних користувачів мають:
§ адміністрація МЦБС;
§ керівник структурного підрозділу;
§ працівники відділів обслуговування.
4.3. Керівники структурних підрозділів МЦБС мають право передавати персональні дані користувача працівникам адміністрації за вимогою в обсязі, необхідному для виконання ними службових обов’язків та відповідно до їх посадових інструкцій, а також у випадках, обумовлених чинним законодавством.
4.4. Директор МЦБС або керівник структурного підрозділу можуть передавати персональні дані користувача третім особам тільки у випадках попередження загрози життю та здоров’ю користувача, а також в інших випадках, обумовлених чинним законодавством України.
4.5. При передачі персональних даних користувача директор МЦБС або керівник структурного підрозділу попереджає осіб, яким надається інформація, про те, що ці дані можуть бути використані тільки з заявленою метою і вимагають від цих осіб письмове підтвердження виконання цієї умови.
4.6. Інші права, обов’язки, дії працівників, в посадові обов’язки яких входить обробка персональних даних користувачів, визначаються посадовими інструкціями.
4.7. Персональні дані користувачів уточнюються щорічно при першому відвідуванні користувачем бібліотеки. У разі змін персональних даних бібліотека вносить зміни до формуляру (реєстраційної картки).
4.8. Термін обробки персональних даних бібліотекою – три роки з моменту останньої перереєстрації користувача. Після закінчення терміну обробки персональні дані на паперовому носії знищуються.
5. Права користувачів
5.1. Користувач має право на отримання наступної інформації при зверненні до бібліотеки:
§ підтвердження факту обробки персональних даних бібліотекою, а також мету такої обробки;
§ способи обробки персональних даних, що застосовуються бібліотекою;
§ відомості про осіб, які мають доступ до персональних даних або тих, кому може бути наданий такий доступ;
§ перелік даних, що обробляються та джерело їх отримання;
§ терміни обробки персональних даних, в тому числі терміни їх зберігання;
5.2. Користувач має право на захист своїх прав та законних інтересів у судовому порядку.
6. Обов’язки бібліотеки з питань обробки персональних даних користувачів.
6.1. Бібліотека при обробці персональних даних забезпечує виконання запобіжних організаційних та технічних заходів для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, внесення змін, копіювання, розповсюдження персональних даних, а також інших неправомірних дій.
6.2. Бібліотека здійснює передачу персональних даних користувачів тільки у відповідності з цим Положенням та чинним законодавством України.
6.3. Бібліотека повинна внести за вимогою користувача необхідні зміни до персональних даних, блокувати його застарілі, неповні, недостовірні або ті, що не є необхідними для заявленої мети обробки. Про внесені зміни бібліотека повідомляє користувача або його законного представника та третіх осіб, яким персональні дані були надані.
6.4. У випадку виявлення недостовірних персональних даних або неправомірних дій з ними бібліотека, за вимогою користувача, здійснює блокування персональних даних відповідного користувача з моменту такого звернення на період повірки.
6.5. В разі підтвердження факту недостовірності персональних даних бібліотека на підставі документів, представлених користувачем або його законним представником, уточнює персональні дані та знімає їх блокування.
6.6. Три роки поспіль з моменту останньої перереєстрації користувача бібліотека припиняє обробку персональних даних, знищує (в разі прямої відмови від користування бібліотекою) його персональні дані на паперовому носії (реєстраційну картку, формуляр). Знищення персональних даних здійснюється тільки при умові, що користувач не має заборгованості перед бібліотекою. В іншому випадку, персональні дані блокуються і знищуються тільки після зняття заборгованості або після повідомлення користувача про складання по відношенню до нього протоколу про адміністративне порушення у відповідності з діючим законодавством України.
7. Відповідальність бібліотеки та її працівників.
7.1. Захист прав користувачів, установлених цим Положенням і законодавством України, здійснюється судом.
7.2. В разі порушення бібліотекою та іншими особами норм, що регулюють обробку, збереження, передачу і захист персональних даних користувача, вони несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу відповідальність, обумовлену законодавством України.
Додатки:
1. Форма реєстраційної картки користувача.
2. Форма читацького формуляру.