Политика конфиденциальности

П О Л О Ж Е Н И Е

об обработке и защите персональных данных в муниципальном бюджетном учреждении культуры города Казани «Музейный комплекс города Казани»

1. Общие положения

1.1. Положение об обработке и защите персональных данных в муниципальном бюджетном учреждении культуры города Казани «Музейный комплекс города Казани» (далее – Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в муниципальном бюджетном учреждении культуры города Казани «Музейный комплекс города Казани» (далее – МБУК «Музей Казани»).

1.2. Настоящее Положение определяет политику МБУК «Музей Казани» как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 2 сентября 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее – Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»), постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4. Обработка персональных данных в МБУК «Музей Казани» осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

1.5. Понятия, используемые в настоящем Положении:
 – персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
 – оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
 – обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных;
 – автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
 – распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
 – предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
 – уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
 – информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
 – конфиденциальность персональных данных – обязательное для соблюдения получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.6. Основанием для обработки персональных данных является совокупность правовых актов:  – федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
 – уставные документы оператора;
 – договоры, заключаемые между оператором и субъектом персональных данных;
 – согласие на обработку персональных данных.

1.7. Настоящее Положение действует в отношении всех персональных данных, которые МБУК «Музей Казани» может получить от субъектов персональных данных.

1.8. Положение распространяется на персональные данные, полученные как до, так и после утверждения настоящего Положения.

2. Состав обрабатываемых персональных данных

2.1. Сведениями, составляющими персональные данные, в МБУК «Музей Казани» является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. МБУК «Музей Казани» как оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
 – работников, состоящих в трудовых отношениях с МБУК «Музей Казани»;
 – бывших работников МБУК «Музей Казани», кандидатов на замещение вакантных должностей, а также родственников работников;
 – клиентов и контрагентов МБУК «Музей Казани», законных представителей (физических лиц);
 – представителей клиентов и контрагентов МБУК «Музей Казани» (юридических лиц);
 – лиц, имеющих договорные отношения гражданско-правового характера с оператором или находящихся на этапе преддоговорных отношений подобного характера;
 – лиц, проходящих различного рода практику (стажировку) у оператора;
 – лиц, обратившихся к оператору в соответствии с федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».

3. Цели обработки персональных данных

3.1. МБУК «Музей Казани» обрабатывает персональные данные субъектов персональных данных в следующих целях:

3.1.1. осуществление и выполнение возложенных законодательством РФ на оператора функций, полномочий и обязанностей, в частности:
 а) сбор и хранение данных работника, необходимых для исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством;
 б) выполнение действующего законодательства РФ, локальных нормативных актов МБУК НКЦ «Казань»;
 в) выполнение целей, обозначенных в уставе МБУК «Музей Казани»
 г) выполнение требований законодательства в сфере труда, налогообложения и пенсионного обеспечения;
 д) ведение бухгалтерского и налогового учета, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчетности;
 е) содействие работникам в трудоустройстве, получении образования и продвижении по службе;
 ж) обеспечение личной безопасности работников;
 з) контроль количества и качества выполняемой работы;
 и) обеспечение сохранности имущества;
 к) направления работников в заграничные командировки.

3.1.2. выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами (контрагентами, партнерами) МБУК «Музей Казани»,

3.1.3. реализация прав и законных интересов третьих лиц либо достижения общественно значимых целей;

3.1.4. идентификация стороны в рамках договоров с МБУК «Музей Казани»

3.1.5. связь с субъектом в случае необходимости, в том числе направление уведомлений, информации и запросов, связанных с оказанием услуг, а также обработка заявлений, запросов и заявок;

3.1.6. улучшение качества услуг, оказываемых МБУК «Музей Казани»;

3.1.7. продвижение товаров, работ, услуг путем осуществления прямых контактов с субъектом персональных данных;

3.1.8. осуществление пропускного режима;

3.1.9. организация предоставления услуг на основании законодательства, действующего в сфере культуры, концертной и музейной деятельности, оказание муниципальных услуг и услуг в рамках уставной деятельности;

3.1.10. иные законные цели.

3.2. Обработка персональных данных, необходимых в связи с организацией приема граждан, обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан, в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации», а также посетителей МБУК «Музей Казани» осуществляется путем получения в форме обратной связи таких данных, как Ф.И.О., номер мобильного телефона, почтовый адрес и адрес электронной почты.

4. Условия и порядок обработки персональных данных работников МБУК «Музей Казани»

4.2. В целях, указанных в пунктах 3.1.1, 3.1.8 настоящего Положения, обрабатываются следующие категории персональных данных работников МБУК «Музей Казани»:

4.2.1. фамилия, имя, отчество (последнее при наличии), дата и место рождения, гражданство;

4.2.2. сведения о стаже и трудовой деятельности;

4.2.3. семейное положение, состав семьи и сведения о близких родственниках;

4.2.4. сведения о месте регистрации и месте фактического проживания, номер телефона;

4.2.5. данные паспорта гражданина РФ и заграничного паспорта;

4.2.6. реквизиты страхового свидетельства обязательного пенсионного страхования;

4.2.7. ИНН;

4.2.8. сведения с предыдущего места работы о доходах;

4.2.9. сведения о проведении служебных проверок и наложении дисциплинарных взысканий (вид взыскания, основание, дата снятия взыскания);

4.2.10. сведения о трудовом договоре;

4.2.11. сведения о заработной плате;

4.2.12. номер расчетного счета;

4.2.13. данные о званиях, ученой степени, награждении государственными и ведомственными наградами, иными наградами;

4.2.14. сведения о воинском учете и реквизиты документов воинского учета;

4.2.15.реквизиты свидетельства государственной регистрации актов гражданского состояния;

4.2.16. информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

4.2.17. сведения о профессиональном образовании (уровень образования, наименование образовательного учебного заведения, год окончания, дата выдачи диплома; номер диплома; специальность, квалификация);

4.2.18. личная фотография для использования в личном деле и оформления пропуска в учреждение;

4.2.19. иные персональные данные, необходимые для достижения целей, предусмотренных пунктами 3.1.1. и 3.1.8. настоящего Положения.

4.3. Обработка персональных данных работников работодателем возможна только с их согласия. Исключения составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований, перечисленных в п. п. 2 – 11 ч. 1 ст. 6, п. п. 2 – 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ).

4.4. Письменное согласие работника на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 – 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ.

4.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.

4.6. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

4.7. Обработка специальных категорий персональных данных работников МБУК «Музей Казани» (в частности сведения о состоянии здоровья) осуществляется в соответствии с требованиями п.2 ст.10 Федерального закона «О персональных данных».

4.8. Обработка персональных данных работников МБУК НКЦ «Казань» осуществляется специалистом по кадрам, главным бухгалтером, его заместителем и ведущими бухгалтерами бухгалтерии, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.

4.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников МБУК «Музей Казани» осуществляется путем:

4.9.1. получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные предоставляемые документы);

4.9.2. копирования оригиналов документов;

4.9.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

4.9.4. формирования персональных данных в ходе кадровой, бухгалтерской работы;

4.9.5. внесения персональных данных в информационные системы МБУК «Музей Казани».

4.10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников МБУК «Музей Казани». Работник МБУК «Музей Казани» обязан передавать достоверные персональные данные в полном объеме, а в случае их изменения уведомлять МБУК «Музей Казани» в письменной форме.

4.11. В случае возникновения необходимости получения персональных данных работников МБУК «Музей Казани» у третьей стороны, следует известить об этом работника МБУК «Музей Казани» заранее, получить письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных.

4.12. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан.

4.13. При сборе персональных данных специалист по кадрам, осуществляющий сбор (получение) персональных данных непосредственно от работников МБУК «Музей Казани» обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

4.14. Передача (распространение, предоставление) и использование персональных данных работников МБУК «Музей Казани» осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

4.15. В целях информационного обеспечения в МБУК «Музей Казани» создаются общедоступные источники персональных данных, в том числе справочники (телефонные). В общедоступные источники персональных данных включаются: фамилия, имя, отчество, наименование обособленного подразделения (отдела), должность, номера контактных телефонов, адреса электронной почты и иные персональные данные, сообщаемые субъектом персональных данных, которые получают статус общедоступных. Запрещается размещать персональные данные субъекта, которые не получили статус общедоступных, в информационно-телекоммуникационной сети Интернет без получения устного или письменного согласия субъекта персональных данных.

4.16. Передача, хранение и доступ к персональным данным работников МБУК «Музей Казани»:

4.16.1. Информация, относящаяся к персональным данным работника МБУК «Музей Казани», хранится в личном деле работника. Личные дела хранятся в бумажном виде в папках. Личные дела хранятся в специально отведенной секции сейфа или иного запираемого шкафа, обеспечивающего защиту от несанкционированного доступа.

4.16.2. При передаче персональных данных работника оператор обязан соблюдать следующие требования:  – не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;
 – предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать требования конфиденциальности;
 – не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
 – передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

4.16.3. Внутренний доступ к персональным данным работника, в целях выполнения служебных обязанностей, имеют следующие работники МБУК «Музей Казани»:  – директор;
 – заместитель директора по общим вопросам;
 – заместитель директора по экономическим вопросам;
 – юрисконсульт;
 – инженер по кадрам;
 – инженер по воинскому учету;
 – инженер по учету рабочего времени;
 – секретарь отдела кадров и делопроизводства;
 – заведующий архивом;
 – делопроизводитель;
 – руководители структурных подразделений и отделов;
 – инженер по охране труда;
 – инженер по гражданской обороне;
 – инженер по защите информации;
 – непосредственно субъект персональных данных в пределах своих персональных данных.

5. Условия и порядок обработки персональных данных лиц, не являющихся работниками МБУК «Музей Казани»

5.1. В целях, указанных в пунктах 3.1.2. – 3.1.10. настоящего Положения, обрабатываются следующие категории персональных данных лиц, не являющихся работниками МБУК «Музей Казани»:
 – фамилия, имя, отчество (последнее при наличии), дата рождения;
 – сведения о месте регистрации и месте фактического проживания, номер телефона;
 – данные паспорта гражданина РФ;
 – номер расчетного счета;
 – адрес электронной почты;
 – ИНН, номер страхового свидетельства;
 – иные персональные данные, необходимые для достижения целей, предусмотренных пунктами 3.1.2. – 3.1.10. настоящего Положения.

5.2. Обработка персональных данных лиц, не являющихся работниками МБУК «Музей Казани», включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.

5.3. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных лиц, не являющихся работниками МБУК «Музей Казани» осуществляется путем:

5.3.1. получения оригиналов необходимых документов;

5.3.2. копирования оригиналов документов;

5.3.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

5.3.4. формирования персональных данных в ходе работы по организации учета и сверки;

5.3.5. внесения персональных данных в информационные системы МБУК «Музей Казани».

5.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно у субъекта персональных данных.

5.5. В случае возникновения необходимости получения персональных данных лиц, не являющихся работниками МБУК «Музей Казани», у третьей стороны, следует известить об этом заранее, получить письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных.

5.6. Запрещается получать, обрабатывать персональные данные, не предусмотренные пунктом 5.1. настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

6. Права и обязанности

6.1. Права и обязанности МБУК «Музей Казани»:

6.1.1. МБУК «Музей Казани», как оператор персональных данных вправе:
 – отстаивать свои интересы в суде;
 – предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
 – отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
 – использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

6.1.2. Оператор персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами.

6.2. Субъект персональных данных имеет право:  – требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
 – требовать перечень своих персональных данных, обрабатываемых МБУК «Музей Казани», и источник их получения;
 – получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
 – требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
 – обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
 – на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Порядок обработки персональных данных субъектов персональных данных в информационных системах

7.1. Обработка персональных данных в МБУК «Музей Казани» осуществляется:

7.1.1. В информационной системе «Барс-Бюджет».

7.1.2. На интернет-сайте организации.

7.1.3. На автоматизированном рабочем месте заместителя директора по общим вопросам.

7.1.4. На автоматизированном рабочем месте заместителя директора по экономическим вопросам.

7.1.5. На автоматизированном рабочем месте заведующего архивом.

7.2. Информационная система «Барс-Бюджет» предполагает обработку персональных данных субъектов персональных данных и включает следующие категории:

7.2.1. для работников:
 – фамилия, имя, отчество (последнее при наличии), дата и место рождения, гражданство;
 – сведения о стаже и трудовой деятельности;
 – семейное положение, состав семьи и сведения о близких родственниках;
 – сведения о месте регистрации и месте фактического проживания, номер телефона;
 – данные паспорта гражданина РФ;
 – реквизиты страхового свидетельства обязательного пенсионного страхования;
 – ИНН;
 – сведения с предыдущего места работы о доходах;
 – сведения о трудовом договоре;
 – сведения о заработной плате;
 – номер расчетного счета;
 – данные о награждении государственными и ведомственными наградами, иными наградами;
 – реквизиты свидетельства государственной регистрации актов гражданского состояния;
 – информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
 – сведения о профессиональном образовании (уровень образования)
 – иные персональные данные, необходимые для достижения целей, предусмотренных пунктами 3.1.1. и 3.1.8. настоящего Положения.

7.2.2. для иных физических лиц в соответствии с пунктом 5.1. Настоящего Положения.

7.3. Информационная система Интернет-сайт предполагает обработку персональных данных работников МБУК «Музей Казани» и включает: фамилия, имя, отчество.

7.4. Автоматизированное рабочее место заместителя директора по общим вопросам и заместителя директора по экономическим вопросам предполагает обработку персональных данных работников МБУК «Музей Казани» и включает.

7.4.1 фамилию, имя, отчество субъекта персональных данных (последнее при наличии);

7.4.2 дата и место рождения субъекта персональных данных;

7.4.3 должность;

7.4.4 сведения об отпусках;

7.4.5 информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы.

7.5 Автоматизированное рабочее место заведующего архивом предполагает обработку персональных данных уволенных работников МБУК «Музей Казани», предусмотренных пунктом 5.2. настоящего Положения и персональных данных физических лиц, являющихся стороной гражданско-правовых договоров, заключенных с МБУК «Музей Казани».

7.6. Классификация информационных систем персональных данных, указанных в пункте 7.1. настоящего Положения, осуществляется в порядке, установленном законодательством Российской Федерации.

7.7. Работникам МБУК «Музей Казани», имеющим право осуществлять обработку персональных данных в информационных системах МБУК «Музей Казани», предоставляется пароль для доступа к соответствующей информационной системе.
Информация вносится в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

7.8. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных МБУК «Музей Казани», достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

7.8.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных МБУК «Музей Казани»;

7.8.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных МБУК «Музей Казани», необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

7.8.3. учет машинных носителей персональных данных;

7.8.4. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

7.8.5. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

7.8.6. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
Меры конфиденциальности при обработке персональных данных распространяются как на бумажные, так и на автоматизированные (электронные) носители информации.

7.9. Инженер по защите информации в МБУК «Музей Казани» организует и контролирует ведение учета материальных носителей персональных данных.

7.10. Инженер по защите информации при обработке персональных данных в информационных системах персональных данных МБУК «Музей Казани» должен обеспечить:  – своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных;
 – недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
 – возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
 – постоянный контроль за обеспечением уровня защищенности персональных данных;
 – знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
 – учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
 – при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

7.11. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных уполномоченными должностными лицами МБУК «Музей Казани» незамедлительно принимаются меры по установлению причин нарушений и их устранению.

8. Сроки обработки и хранения персональных данных

8.1. Сроки обработки и хранения персональных данных работников МБУК «Музей Казани» определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных работников:

8.1.1. Персональные данные, содержащиеся в приказах по личному составу (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в МБУК «Музей Казани» в течение пяти лет, с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет.

8.1.2. Персональные данные, содержащиеся в личных делах работников, хранятся в МБУК «Музей Казани» в течение десяти лет, с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет.

8.1.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи работников подлежат хранению в течение пяти лет в МБУК «Музей Казани» с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет.

8.1.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских командировках, о дисциплинарных взысканиях работников, подлежат хранению в МБУК «Музей Казани» в течение пяти лет, с последующим уничтожением.

8.2. Хранение персональных данных субъектов персональных данных, указанных в разделе 5 настоящего Положения, должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8.3. Персональные данные, предоставляемые субъектами на бумажном носителе хранятся на бумажных носителях в МБУК «Музей Казани», у должностных лиц, осуществивших прием документов, в соответствии с исполнением должностных обязанностей.

8.4. МБУК «Музей Казани» должно обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.

8.5. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют должностные лица, осуществляющие обработку персональных данных.

8.6. Срок хранения персональных данных, внесенных в информационные системы персональных данных МБУК «Музей Казани», указанные в пункте 7.1. настоящего Положения, должен соответствовать сроку хранения бумажных оригиналов.

9. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

9.1. Заведующий архивом, ответственный за архивирование документов, осуществляет систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

9.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии МБУК «Музей Казани». По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии МБУК «Музей Казани».

9.3. Документы, содержащие персональные данные, подлежат уничтожению путем их измельчения при помощи устройства «шредер» и ликвидации отходов совместно с соответствующей организацией, специализирующей по переработке вторичного сырья.

9.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

10. Рассмотрение запросов субъектов персональных данных или их представителей

10.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

10.1.1. подтверждение факта обработки персональных данных в МБУК «Музей Казани»;

10.1.2. правовые основания и цели обработки персональных данных;

10.1.3. применяемые в МБУК «Музей Казани» способы обработки персональных данных;

10.1.4. наименование и место нахождения МБУК «Музей Казани», сведения о лицах (за исключением работников МБУК «Музей Казани»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с МБУК «Музей Казани» или на основании федерального закона;

10.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

10.1.6. сроки обработки персональных данных, в том числе сроки их хранения в МБУК «Музей Казани»;

10.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

10.1.8. наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению МБУК «Музей Казани», если обработка поручена или будет поручена такой организации или лицу;

10.1.9. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

10.2. Субъекты персональных данных вправе требовать от МБУК «Музей Казани» уточнения их персональных данных, их уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.3. Сведения, указанные в подпунктах 10.1.1. – 10.1.9. настоящего Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

10.4. Сведения, указанные в подпунктах 10.1.1. – 10.1.9. настоящего Положения, предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

10.4.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

10.4.2. сведения, подтверждающие участие субъекта персональных данных в правоотношениях с МБУК «Музей Казани», либо сведения, иным образом подтверждающие факт обработки персональных данных в МБУК «Музей Казани».

10.5. В случае, если сведения, указанные в подпунктах 10.1.1 – 10.1.9 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в МБУК «Музей Казани» или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

11. Лицо, ответственное за организацию обработки персональных данных в МБУК «Музей Казани»

11.1. Ответственный за организацию обработки персональных данных в МБУК «Музей Казани» (далее – ответственный за обработку персональных данных) назначается руководителем из числа работников МБУК «Музей Казани».

11.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящим Положением.

11.3. Ответственный за обработку персональных данных обязан:

11.3.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в МБУК «Музей Казани» от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

11.3.2. осуществлять внутренний контроль за соблюдением работниками МБУК «Музей Казани» требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

11.3.3. доводить до сведения работников МБУК «Музей Казани» положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

11.3.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в МБУК «Музей Казани». Обращения и запросы субъектов персональных данных рассматривает должностное лицо, осуществляющее их обработку;

11.3.5. в случае нарушения в МБУК «Музей Казани» требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

11.4. Ответственный за обработку персональных данных вправе:

11.4.1. иметь доступ к информации, касающейся обработки персональных данных в МБУК «Музей Казани» и включающей:
 – цели обработки персональных данных;
 – категории обрабатываемых персональных данных;
 – категории субъектов, персональные данные которых обрабатываются;
 – правовые основания обработки персональных данных;
 – перечень действий с персональными данными, общее описание используемых в МБУК «Музей Казани» способов обработки персональных данных;
 – описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»;
 – дату начала обработки персональных данных;
 – срок или условия прекращения обработки персональных данных;
 – сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;

11.4.2. привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в МБУК «Музей Казани», иных работников с возложением на них соответствующих обязанностей и закреплением ответственности.

12. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

12.1. Каждый работник МБУК «Музей Казани», получающий для работы документ, содержащий конфиденциальную информацию, в том числе персональные данные, несет персональную ответственность за сохранность носителя и информации.

12.2. Настоящее Положение является локальным правовым актом МБУК «Музей Казани», общедоступным и подлежит размещению на официальном сайте МБУК «Музей Казани».

12.3. Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных, но не реже одного раза в три года.

12.4. Контроль исполнения требований настоящего Положения осуществляется лицом, ответственным за организацию обработки персональных данных МБУК «Музей Казани».

12.5. Ответственность работников МБУК «Музей Казани», осуществляющих обработку персональных данных и имеющих право доступа к ним, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами МБУК «Музей Казани».