Политика частного учреждения культуры «Музей современного искусства «Гараж» в отношении обработки и защиты персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящая Политика Частного учреждения культуры «Музей современного искусства «ГАРАЖ» в отношении обработки и защиты персональных данных (далее — Политика) принята в целях соблюдения законодательства, регулирующего отношения, связанные с обработкой персональных данных, обеспечения соблюдения прав и свобод субъектов персональных данных, соблюдения конфиденциальности персональных данных и обеспечения безопасности процессов их обработки и опубликована с целью обеспечения неограниченного доступа с использованием средств информационно-телекоммуникационной сети «Интернет» для целей ознакомления с положениями настоящей Политики неограниченного круга лиц.

1.2 Настоящая Политика определяет цели и правовые основания обработки персональных данных, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных, а также отношения, связанные с актуализацией, исправлением, удалением и уничтожением персональных данных, определяет порядок предоставления ответов на запросы субъектов персональных данных на доступ к персональным данным.

1.3 В настоящей Политике используются следующие основные понятия в следующих значениях:

  • персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (Оператор) — Частное учреждение культуры «Музей современного искусства «ГАРАЖ» (ОГРН 1147799010083, ИНН 7706471526, юридический адрес: 119049, г. Москва, улица Крымский Вал, дом 9, строение 32)
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

2. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Обработка персональных данных осуществляется в целях:

  • обеспечения исполнение обязательств, связанных с проведением выставок, мероприятий, проектов культурно-просветительского характера, в том числе лекций, мастер-классов, оказанием иных услуг, осуществляемых Оператором, а также обязательств, вытекающих из трудовых, гражданско-правовых договоров и государственных контрактов;
  • рассылки приглашений и предоставления информации о мероприятиях, проводимых Оператором;
  • рассылки таргетированной рекламы, а также информации о деятельности Оператора и проводимых Оператором мероприятиях;
  • осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, сохранности имущества Оператора, ведения кадрового делопроизводства;
  • принятия решения о трудоустройстве кандидата;
  • организации и обеспечения пропускного режима в помещения Оператора;
  • идентификации субъекта персональных данных и установление с ним обратной связи посредством интернет-сайтов Оператора: garagemca.org, slet.garagemca.org, slet-membership-form.garagemca.org (далее — «Интернет-сайты»);
  • предоставление субъекту персональных данных доступа к использованию функциональных возможностей и контента Интернет-сайтов Оператора, осуществление электронных почтовых рассылок, проведение на основе обезличенных персональных данных статистических и иных исследований;
  • проведения аналитики в отношении состава аудитории Интернет-сайтов с целью понимания ее потребностей и улучшения продуктов, услуг и информационного наполнения (контента) Интернет-сайтов;
  • исполнение иных обязанностей, возложенных на Оператора законодательством.

2.2 Правовыми основаниями для обработки персональных данных являются:

  • Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ;
  • Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ;
  • Гражданский кодекс Российской Федерации (часть третья) от 26.11.2001 № 146-ФЗ;
  • Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 230-ФЗ;
  • Устав Оператора.

3. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Объем и категории обрабатываемых персональных данных определяется в соответствии с целями обработки персональных данных, а также зависит от категории субъектов персональных данных. Оператор обрабатывает персональные данные исходя из недопущения избыточности обрабатываемых данных заявленным целям обработки. Предельные объемы обрабатываемых персональных данных указаны в п. 3.3 настоящей Политики.

3.2 Настоящей Политикой установлены следующие категории субъектов персональных данных:

  • кандидаты на вакантные должности Оператора;
  • работники Оператора, родственники работников Оператора, в пределах определяемых законодательством, если сведения о них предоставляются работником;
  • лица, входящие в органы управления Оператора и не являющимися работниками;
  • физические лица, с которыми Оператором заключаются договоры гражданско-правового характера;
  • посетители и зарегистрированные пользователи Интернет-сайтов Оператора

3.3 Настоящая Политика определяет следующие объемы обрабатываемых персональных данных Оператором:

  • для категории «кандидаты на вакантные должности Оператора»: фамилия, имя, отчество, дата рождения, образование, наименование предыдущих работодателей, период работы, наименования должностей у предыдущих работодателей;
  • для категории «работников Оператора»: персональные данные, указанные в паспорте, ином документе, удостоверяющем личность работника, образование, отношение к воинской обязанности (воинской службе), сведения о заработной плате, номер телефона, адрес фактического проживания, банковские реквизиты, страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования, индивидуальный налоговый номер (при наличии), номер телефона, адрес электронной почты;
  • для категории «лица, входящие в органы управления Оператора и не являющимися работниками»: персональные данные, указанные в паспорте, ином документе, удостоверяющем личность субъекта персональных данных, образование, сведения о заработной плате, номер телефона, адрес фактического проживания, банковские реквизиты, страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования, индивидуальный налоговый номер (при наличии), номер телефона, адрес электронной почты;
  • для категории «физические лица, с которыми Оператором заключаются договоры гражданско-правового характера» персональные данные, указанные в паспорте, ином документе, удостоверяющем личность субъекта персональных данных, банковские реквизиты, страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования, индивидуальный налоговый номер (при наличии), номер телефона, адрес электронной почты;
  • для категории: «посетители и зарегистрированные пользователи Интернет-сайтов Оператора»: ФИО; номер телефона; адрес электронной почты; место работы; официальный сайт работодателя в сети Интернет (при наличии), адреса страниц в социальных сетях в сети Интернет, автоматически собираемые данные (файлы cookie) согласно Приложению № 1 к настоящей Политике.

4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Оператор не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, религиозных, философских и иных убеждений, интимной жизни, политических взглядов, членства в общественных объединениях, политических партиях, а также в профессиональных союзах.

4.2 Биометрические персональные данные Оператором не обрабатываются.

4.3 Оператор не осуществляет трансграничную передачу персональных данных. Однако при посещении субъектом персональных данных Интернет-сайтов его файлы cookie будут использоваться службами веб-аналитики, в т.ч. от иностранных разработчиков. Информация, собранная с помощью файлов cookie, будет храниться на собственных серверах указанных служб. Описание файлов cookie, используемых службами веб-аналитики, приведено в Приложении № 1 к настоящей Политике.

4.4 Способ получения (сбора) персональных данных зависит от категории персональных данных и может производиться путем:

  • получения персональных данных от субъекта персональных данных в виде копий (оригиналов) документов, заполненных анкет, реквизитов договоров, а также специальных форм, заполненных посетителями Интернет-сайтов Оператора;
  • получения персональных данных от третьих лиц в случаях и порядке, предусмотренных законодательство ;
  • получения персональных данных из общедоступных источников.

4.5 В отношении персональных данных Оператор осуществляет следующие, действия, совершаемые как с использованием средств автоматизации, так и без использования таких средств: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

4.6 При осуществлении хранения баз данных Оператор использует базы данных, расположенные на территории Российской Федерации.

4.7 Настоящей Политикой установлено, что предельные сроки обработки персональных данных не могут превышать сроков, установленных:

  • законодательством Российской Федерации;
  • субъектом персональных данных, выраженных в письменном согласии на обработку его персональных данных либо в заявлении об отзыве согласия на обработку персональных данных.
  • При этом в любом случае обработка персональных данных не может быть дольше, чем этого требуют цели обработки персональных данных. При наступлении предельных сроков обработки персональных данных Оператор прекращает обработку персональных данных. Кроме того, обработка персональных данных прекращается Оператором в случаях:
  • изменения, признания утратившими силу нормативных актов, устанавливающих правовые основания обработки персональных данных;
  • выявление неправомерной обработки персональных данных, осуществляемой Оператором;
  • отзыв субъектом персональных данных своего согласия на обработку своих персональных данных, в случае, если обработка таких персональных данных в соответствии с законодательством допускается лишь на основании согласия субъекта персональных данных.

4.8 Оператор не вправе раскрывать третьим лицам и распространять персональные данные без письменного согласия субъекта персональных данных, если иное не установлено настоящей Политикой и законодательством.

4.9 Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.

4.10 Оператор реализует следующие требования к защите персональных данных:

4.10.1 назначает ответственного за организацию обработки персональных данных из числа работников Оператора;

4.10.2 разрабатывает и утверждает приказом руководителя Оператора локальные нормативные правовые акты в сфере обработки персональных данных;

4.10.3 при эксплуатации информационных систем персональных данных принимает следующие правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных:

  • организует режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • обеспечивает сохранность носителей персональных данных;
  • утверждает перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

4.10.4 при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

4.10.5 организует проведение периодических проверок условий обработки персональных данных;

4.10.6 осуществляет ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организует обучение указанных работников;

4.10.7 уведомляет уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных;

4.10.8 в случаях, установленных нормативными правовыми актами Российской Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляет обезличивание персональных данных, обрабатываемых в информационных системах персональных данных.

5. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1 При наступлении обстоятельств, указанных в п. 4.7 настоящей Политики Оператор осуществляет уничтожение персональных данных, если иное не предусмотрено договором, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных либо соглашением между Оператором и субъектом персональных данных.

5.2 В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.

5.3 Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

5.4 Запросы, указанные в п. 5.3 настоящей Политики должны направляться Оператору в письменном виде по адресу, указанному в абз. 2 п. 1.3 настоящей Политики и должны предусматривать адрес, на который Оператор должен предоставить ответ. Оператор обязуется предоставить ответ на запрос субъекта персональных данных в срок, не превышающий 20 (двадцати) рабочих дней с даты получения запроса.

6. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Субъект персональных данных имеет право на получение информации об обработке его персональных данных Оператором, за исключением случаев, предусмотренных законодательством.

6.2 Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неточными, устаревшими, неполными, полученными с нарушением законодательства или не являются необходимыми для заявленной цели обработки персональных данных.

6.3 Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных, в случае, когда Оператор производит обработку персональных данных на основании согласия субъекта персональных данных.

6.4 Оператор при обработке персональных данных обязан соблюдать требования законодательства и настоящей Политики.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1 Оператор имеет право вносить изменения в настоящую Политику, обеспечив ознакомление с указанными изменениями тем же самым способом, которым осуществляется ознакомление заинтересованных лиц с настоящей Политикой.

7.2 Во всем ином, что не предусмотрено настоящей Политикой Оператор руководствуется требованиями действующего законодательства.

7.3 Никакие пункты настоящей Политики не могут рассматриваться как направленные на ограничение прав и законных интересов субъектов персональных данных.

Приложение № 1

к Политике Частного учреждения культуры «Музей современного искусства «ГАРАЖ» в отношении обработки и защиты персональных данных

Перечень используемых Оператором файлов cookie

Название

Срок действия

Описание

Провайдер

_ym_metrika_enabled

60 минут

Проверяет, правильно ли установлены другие cookies метрики

Яндекс

_ym_isad

2 дня

Используется для определения наличия у посетителя блокировщиков рекламы

Яндекс

_ym_uid

1 год

Позволяет различать посетителей

Яндекс

_ym_d

1 год

Хранит дату первого визита посетителя на сайт

Яндекс

yabs-sid

В течение визита

Идентификатор визита

Яндекс

_ym_debug

В течение визита

Индикатор включенного отладочного режима

Яндекс

_ym_mp2_substs

В течение визита

Используется для работы целевого звонка

Яндекс

ym_visorc*

30 минут

Используется для корректной работы Вебвизора

Яндекс

_ym_hostIndex

1 сутки

Позволяет ограничить количество запросов

Яндекс

_ym_mp2_track

30 дней

Используется для работы целевого звонка

Яндекс

i

1 год

Позволяет различать посетителей

Яндекс

yandexuid

1 год (в некоторых странах срок может быть больше)

Позволяет различать посетителей

Яндекс

yuidss

1 год (в некоторых странах срок может быть больше)

Позволяет различать посетителей

Яндекс

ymex

1 год

Хранит вспомогательную информацию для работы Метрики: время создания идентификаторов и их альтернативные значения.

Яндекс

usst

1 год

Хранит вспомогательную информацию для синхронизации идентификаторов посетителей между разными доменами Яндекса

Яндекс

remixsid, remixsid6, remixttpid, remixnreg_sid, remixauthcheck, remixesid, remixdsid, remixusid, remixq_, remixapi_sid, remixuas, remixluas, remixcpl, remixcp, remixh, remixs, remixl, remixp, remixt, remixlns, remixnsid, remixnsid6, remixlgck, remixtst, remixexp, remixfbstate, remixetd, remixmdevice, remixmobile_app_r, remixat, remixat_view, remixtempsid, h, s, l, p, t, w_at

Essential cookies

vk.com

remixff, remixdt, remixlang, remixvoice, remixfeed, remixvkcom, remixforce_full, remixshow_fvbar, remixmhideads, remixpermit, remixesip, remixmimagesoff, remixdark_color_scheme, remixcolor_scheme_mode, remixaudio, remixaudio_playlist, remixvideo_menu_collapsed, remixarph, remixmlet, remixm_tabs_expanded, remixref_invite_hash, remixref_invite_by, remixredir, remixhideresmsg, remixhidemchg, remixtmp_hash_nav

Functionality cookies

vk.com

remixflash, remixstid, remixrefkey, remixcurr_audio, remixrt, remixmdv, remixua, remixaudio_show_alert_today, remixaudio_date, remixsts, remixscreen_width, remixscreen_height, remixscreen_orient, remixscreen_winzoom, remixscreen_dpr, remixsec_redir, remixapp_session, remixjsp, remixjse

Performance cookies

vk.com

remixscreen_depth, remixseenads, remixab, remixdwcookie, remixpuad

Targeting cookies

vk.com

_ga

2 года

Позволяет различать пользователей

google.com

_gid

24 часа

Позволяет различать пользователей

google.com

ga<container-id>

2 года

Позволяет различать пользователей

google.com

gac_gb<container-id>

90 дней

Содержит данные, связанные с кампанией. После установления связи между аккаунтами Google Аналитики и Google Рекламы размещенные на сайте теги конверсии Google Рекламы будут получать данные из файла cookie, если вы не отключите эту возможность.

google.com

_gat

1 минута

Ограничивает частоту запросов. Если поддержка Google Аналитики реализована с помощью Google Менеджера тегов, файлу будет присвоено название dc_gtm<property- id>.

google.com

AMP_TOKEN

От 30 секунд до 1 года

Содержит токен, с помощью которого можно получить Client-ID от сервиса AMP. Другие возможные значения: отключение функции, активный запрос или ошибка получения Client-ID от сервиса AMP.

google.com

gac<property-id>

90 дней

Содержит информацию о кампании для пользователя. После установления связи между аккаунтами Google Аналитики и Google Рекламы размещенные на сайте теги конверсии Google Рекламы будут получать данные из файла cookie, если вы не отключите эту возможность.

google.com

__utma

2 года с момента установки или обновления

Позволяет различать пользователей и сеансы. Создается при выполнении библиотеки JavaScript, если нет существующих файлов cookie __utma. Обновляется при каждой отправке данных в Google Аналитику.

google.com

__utmt

10 минут

Ограничивает частоту запросов.

google.com

__utmb

30 минут с момента установки или обновления

Используется для определения новых сеансов/посещений. Создается при выполнении библиотеки JavaScript, если нет существующих файлов cookie __utmb. Обновляется при каждой отправке данных в Google Аналитику.

google.com

__utmc

Окончание сеанса браузера

В ga.js не используется. Устанавливается в целях оперативной совместимости с urchin.js.

google.com

__utmz

6 месяцев с момента установки или обновления

Сохраняет информацию об источнике трафика или кампании, позволяющую понять, откуда пользователь пришел на сайт. Создается при выполнении библиотеки и обновляется при каждой отправке данных в Google Аналитику.

google.com

__utmv

2 года с момента установки или обновления

Сохраняет данные о пользовательской переменной уровня посетителя. Создается, когда разработчик использует метод _setCustomVar с пользовательской переменной уровня посетителя. Также использовался методом _setVar, который больше не поддерживается. Обновляется при каждой отправке данных в Google Аналитику.

google.com

_garage_last_locale

В течение визита

Содержит последний выбранный пользователем язык сайта

garagemca.org

_garage_site_messages

В течение визита

Содержит unix-дату и время последнего обновления контента для алерта

garagemca.org