Политика частного учреждения культуры «Музей современного искусства «Гараж» в отношении обработки и защиты персональных данных
-
ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящая Политика Частного учреждения культуры «Музей современного искусства «ГАРАЖ» в отношении обработки и защиты персональных данных (далее – Политика) принята в целях соблюдения законодательства, регулирующего отношения, связанные с обработкой персональных данных, обеспечения соблюдения прав и свобод субъектов персональных данных, соблюдения конфиденциальности персональных данных и обеспечения безопасности процессов их обработки и опубликована с целью обеспечения неограниченного доступа с использованием средств информационно-телекоммуникационной сети «Интернет» для целей ознакомления с положениями настоящей Политики неограниченного круга лиц.
- Настоящая Политика определяет цели и правовые основания обработки персональных данных, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных, а также отношения, связанные с актуализацией, исправлением, удалением и уничтожением персональных данных, определяет порядок предоставления ответов на запросы субъектов персональных данных на доступ к персональным данным
-
В настоящей Политике используются следующие основные понятия в следующих значениях:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (Оператор) – Частное учреждение культуры «Музей современного искусства «ГАРАЖ» (ОГРН 1147799010083, ИНН 7706471526, юридический адрес: 119049, г Москва, улица Крымский Вал, дом 9, строение 32);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
-
ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
-
Обработка персональных данных осуществляется в целях:
- обеспечения исполнение обязательств, связанных с проведением выставок, мероприятий культурно-просветительского характера, в том числе лекций, мастер-классов, оказанием иных услуг, осуществляемых Оператором, а также обязательств, вытекающих из трудовых договоров и государственных контрактов;
- рассылки приглашений и предоставления информации о мероприятиях, проводимых Оператором;
- рассылки таргетированной рекламы, а также информации о деятельности Оператора и проводимых Оператором мероприятиях;
- осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, сохранности имущества Оператора, ведения кадрового делопроизводства;
- принятия решения о трудоустройстве кандидата;
- осуществления прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, сохранности имущества Оператора, ведения кадрового делопроизводства;
- получения обратной связи с пользователями Интернет-сайтов Оператора;
- исполнение иных обязанностей, возложенных на Оператора законодательством.
-
Правовыми основаниями для обработки персональных данных являются:
- Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ;
- Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ;
- Гражданский кодекс Российской Федерации (часть третья) от 26.11.2001 № 146-ФЗ;
- Гражданский кодекс Российской Федерации (часть четвертая) от 18.12.2006 № 230-ФЗ;
- Устав Оператора.
-
Обработка персональных данных осуществляется в целях:
-
ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Объем и категории обрабатываемых персональных данных определяется в соответствии с целями обработки персональных данных, а также зависит от категории субъектов персональных данных. Оператор обрабатывает персональные данные исходя из недопущения избыточности обрабатываемых данных заявленным целям обработки. Предельные объемы обрабатываемых персональных данных указаны в п.3.3. настоящей Политики.
-
Настоящей Политикой установлены следующие категории субъектов персональных данных:
- кандидаты на вакантные должности Оператора;
- работники Оператора, родственники работников Оператора, в пределах определяемых законодательством, если сведения о них предоставляются работником;
- лица, входящие в органы управления Оператора и не являющимися работниками;
- физические лица, с которыми Оператором заключаются договоры гражданско-правового характера;
- посетители сайта, принадлежащего Оператору: https://garagemca.org
-
Настоящая Политика определяет следующие объемы обрабатываемых персональных данных Оператором:
- для категории «кандидаты на вакантные должности Оператора»: фамилия, имя, отчество, дата рождения, образование, наименование предыдущих работодателей, период работы, наименования должностей у предыдущих работодателей;
- для категории «работников Оператора»: персональные данные, указанные в паспорте, ином документе, удостоверяющем личность работника, образование, отношение к воинской обязанности (воинской службе), сведения о заработной плате, номер телефона, адрес фактического проживания, банковские реквизиты, страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования, индивидуальный налоговый номер (при наличии), номер телефона, адрес электронной почты;
- для категории «лица, входящие в органы управления Оператора и не являющимися работниками»: персональные данные, указанные в паспорте, ином документе, удостоверяющем личность субъекта персональных данных, образование, сведения о заработной плате, номер телефона, адрес фактического проживания, банковские реквизиты, страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования, индивидуальный налоговый номер (при наличии), номер телефона, адрес электронной почты;
- для категории «физические лица, с которыми Оператором заключаются договоры гражданско-правового характера» персональные данные, указанные в паспорте, ином документе, удостоверяющем личность субъекта персональных данных, банковские реквизиты, страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования, индивидуальный налоговый номер (при наличии), номер телефона, адрес электронной почты;
- для категории: «посетители сайта, принадлежащего Оператору»: полные фамилия; номер телефона; адрес электронной почты.
-
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Оператор не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, религиозных, философских и иных убеждений, интимной жизни, политических взглядов, членства в общественных объединениях, политических партиях, а также в профессиональных союзах
- Биометрические персональные данные Оператором не обрабатываются.
- Оператор не осуществляет трансграничную передачу персональных данных.
-
Способ получения (сбора) персональных данных зависит от категории персональных данных и может производиться путем:
- получения персональных данных от субъекта персональных данных в виде копий (оригиналов) документов, заполненных анкет, реквизитов договоров, а также специальных форм, заполненных посетителями сайта, принадлежащего Оператору на сайте Оператора;
- получения персональных данных от третьих лиц в случаях и порядке, предусмотренных законодательством;
- получения персональных данных из общедоступных источников.
- В отношении персональных данных Оператор осуществляет следующие, действия, совершаемые как с использованием средств автоматизации, так и без использования таких средств: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- При осуществлении хранения баз данных Оператор использует базы данных, расположенные на территории Российской Федерации.
-
Настоящей Политикой установлено, что предельные сроки обработки персональных данных не могут превышать сроков, установленных:
- законодательством Российской Федерации;
- субъектом персональных данных, выраженных в письменном согласии на обработку его персональных данных либо в заявлении об отзыве согласия на обработку персональных данных.
- изменения, признания утратившими силу нормативных актов, устанавливающих правовые основания обработки персональных данных;
- выявление неправомерной обработки персональных данных, осуществляемой Оператором;
- отзыв субъектом персональных данных своего согласия на обработку своих персональных данных, в случае, если обработка таких персональных данных в соответствии с законодательством допускается лишь на основании согласия субъекта персональных данных.
- Оператор не вправе раскрывать третьим лицам и распространять персональные данные без письменного согласия субъекта персональных данных, если иное не установлено настоящей Политикой и законодательством.
- Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.
-
Оператор реализует следующие требования к защите персональных данных:
- назначает ответственного за организацию обработки персональных данных из числа работников Оператора;
- разрабатывает и утверждает приказом руководителя Оператора локальные нормативные правовые акты в сфере обработки персональных данных;
-
при эксплуатации информационных систем персональных данных принимает следующие правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных:
- организует режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечивает сохранность носителей персональных данных;
- утверждает перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
- при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- организует проведение периодических проверок условий обработки персональных данных;
- осуществляет ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организует обучение указанных работников;
- уведомляет уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных;
- в случаях, установленных нормативными правовыми актами Российской Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляет обезличивание персональных данных, обрабатываемых в информационных системах персональных данных.
-
АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
- При наступлении обстоятельств, указанных в п.4.7. настоящей Политики Оператор осуществляет уничтожение персональных данных, если иное не предусмотрено договором, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных либо соглашением между Оператором и субъектом персональных данных.
- В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.
- Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
- Запросы, указанные в п.5.3. настоящей Политики должны направляться Оператору в письменном виде по адресу, указанному в абз.2 п.1.3. настоящей Политики и должны предусматривать адрес, на который Оператор должен предоставить ответ.
- Оператор обязуется предоставить ответ на запрос субъекта персональных данных в срок, не превышающий 20 (двадцати) рабочих дней с даты получения запроса.
-
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Субъект персональных данных имеет право на получение информации об обработке его персональных данных Оператором, за исключением случаев, предусмотренных законодательством.
- Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неточными, устаревшими, неполными, полученными с нарушением законодательства или не являются необходимыми для заявленной цели обработки персональных данных.
- Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных, в случае, когда Оператор производит обработку персональных данных на основании согласия субъекта персональных данных.
- Оператор при обработке персональных данных обязан соблюдать требования законодательства и настоящей Политики.
-
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
- Оператор имеет право вносить изменения в настоящую Политику, обеспечив ознакомление с указанными изменениями тем же самым способом, которым осуществляется ознакомление заинтересованных лиц с настоящей Политикой.
- Во всем ином, что не предусмотрено настоящей Политикой Оператор руководствуется требованиями действующего законодательства.
- Никакие пункты настоящей Политики не могут рассматриваться как направленные на ограничение прав и законных интересов субъектов персональных данных.