Политика в отношении обработки персональных данных

ПОЛИТИКА

в отношении обработки персональных данных

Муниципального бюджетного учреждения культуры

«Камерный театр «ТРИАДА»

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) и определяет порядок обработки персональных данных, меры по обеспечению их безопасности и защиты, предпринимаемые Муниципальным бюджетным учреждением культуры «Камерный театр «ТРИАДА» (далее — Оператор).

1.2. Оператор ставит своей важнейшей целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Политика применяется ко всей информации, которую Оператор получает о посетителях веб-сайта https://triadatheatre.ru (далее — Сайт), а также об иных субъектах персональных данных в ходе осуществления уставной деятельности.

1.4. Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по адресу https://triadatheatre.ru.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных.

2.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому субъекту персональных данных.

2.9. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

2.10. Уничтожение персональных данных — действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления.

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:

—              получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

—              в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в Законе о персональных данных;

—              самостоятельно определять состав и перечень мер, необходимых для обеспечения выполнения обязанностей, предусмотренных Законом.

3.2. Оператор обязан:

—              предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

—              организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;

—              отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона;

—              сообщать в уполномоченный орган по защите прав субъектов персональных данных необходимую информацию в течение 10 дней с даты получения запроса;

—              публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике;

—              принимать правовые, организационные и технические меры для защиты персональных данных;

—              прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом;

—              исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Основные права и обязанности субъектов персональных данных

4.1. Субъекты персональных данных имеют право:

—              получать информацию, касающуюся обработки их персональных данных;

—              требовать от Оператора уточнения, блокирования или уничтожения персональных данных;

—              отозвать согласие на обработку персональных данных;

—              обжаловать в уполномоченный орган или в судебном порядке неправомерные действия Оператора при обработке персональных данных;

—              на осуществление иных прав, предусмотренных законодательством РФ.

4.2. Субъекты персональных данных обязаны:

—              предоставлять Оператору достоверные данные о себе;

—              сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

5. Принципы обработки персональных данных

5.1. Обработка персональных данных осуществляется на законной и справедливой основе.

5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.

5.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям.

5.4. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки.

5.5. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом или договором.

6. Цели обработки персональных данных

В соответствии с п. 2 ч. 1 ст. 18.1 Закона для каждой цели обработки персональных данных Оператором определены: категории и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки обработки и хранения, а также порядок уничтожения.

6.1. Цель обработки: информирование пользователей Сайта, продажа билетов, передача сведений о покупке билетов в ЕАИС

Категории субъектов: пользователи веб-сайта https://triadatheatre.ru, покупатели билетов.

Перечень персональных данных: фамилия, имя, отчество; адрес электронной почты.

Правовые основания обработки:

·                       согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона);

·                       исполнение договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона);

·                       осуществление функций, полномочий и обязанностей, возложенных законодательством РФ на Оператора (п. 2 ч. 1 ст. 6 Закона).

Способы обработки: автоматизированная и неавтоматизированная обработка (смешанный способ): сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, уничтожение персональных данных.

Срок обработки: в течение 5 лет с даты последнего взаимодействия с субъектом персональных данных.

Срок хранения: 5 лет с момента окончания обработки (прекращения договорных отношений / достижения цели обработки / отзыва согласия), если иное не установлено федеральным законом. После истечения срока хранения персональные данные подлежат уничтожению.

Порядок уничтожения: после достижения целей обработки или истечения срока хранения Оператор в течение 30 дней обеспечивает уничтожение персональных данных. Персональные данные в электронном виде удаляются из информационных систем с применением средств, исключающих возможность восстановления. Персональные данные на бумажных носителях уничтожаются путём измельчения (шредирования) или сожжения. Факт уничтожения фиксируется актом об уничтожении персональных данных.

6.2. Цель обработки: сбор и обработка персональных данных посредством форм обратной связи на Сайте (https://triadatheatre.ru/kontakty; https://triadatheatre.ru/register; форма Яндекс)

Категории субъектов: пользователи веб-сайта https://triadatheatre.ru.

Перечень персональных данных: фамилия, имя, отчество; адрес электронной почты; номер телефона; иные данные, добровольно предоставляемые пользователем в форме обращения.

Правовые основания обработки:

·                       согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона).

·                       исполнение договора / оферты, стороной которого является пользователь (п. 5 ч. 1 ст. 6 Закона), если сообщение касается заказа билетов;

·                       осуществление функций, полномочий и обязанностей Оператора, предусмотренных уставом (п. 2 ч. 1 ст. 6 Закона).

Способы обработки: автоматизированная обработка: сбор, запись, систематизация, хранение, использование, уничтожение персональных данных.

Срок обработки: в течение 5 лет с даты последнего взаимодействия (последнего обращения через форму).

Срок хранения: 5 лет с момента окончания обработки (направления ответа на обращение / достижения цели обработки / отзыва согласия). После истечения указанного срока персональные данные подлежат уничтожению.

Порядок уничтожения: после истечения срока хранения Оператор в течение 30 дней обеспечивает уничтожение персональных данных путём безвозвратного удаления из информационных систем. Факт уничтожения фиксируется актом.

6.3. Цель обработки: обработка персональных данных посредством метрической программы Яндекс.Метрика (аналитика посещаемости Сайта)

Категории субъектов: пользователи веб-сайта https://triadatheatre.ru.

Перечень персональных данных: сведения о поведении пользователя на Сайте (IP-адрес, данные файлов cookie, сведения об устройстве, браузере, действиях на страницах Сайта).

Применение системы «Cookies»: Cookies - небольшие по размеру текстовые файлы, хранящиеся в браузере посетителей, сервис на совокупности различных веб-проектов Оператора (при просмотре Сервиса происходит автоматический сбор (из Cookies) следующих обезличенных статистических данных о посетите, сервиса, в том числе:

·         тип выполненного на сервисе действия (клик, наведение курсора и т.п.):

·         дата и время выполнения действия;

·         URL страницы;

·         Referer;

·         IP (без возможности работы с IP-адресами в статистике);

·         User-Agent:

·         ClientID (идентификатор браузера по файлу Cookie);

·         экранное разрешение;

·         класс HTML-элемента, на который происходит клик;

·         данные о просматриваемых мероприятиях

Правовые основания обработки:

—              согласие субъекта персональных данных (п. 1 ч. 1 ст. 6 Закона), получаемое во всплывающем информационном окне при входе на Сайт.

Способы обработки: автоматизированная обработка с использованием сервиса Яндекс.Метрика: сбор, запись, систематизация, хранение, анализ, уничтожение.

Срок обработки: 12 месяцев с момента получения согласия субъекта персональных данных (стандартный срок хранения cookies Яндекс.Метрики).

Срок хранения: 12 месяцев с момента сбора данных. По истечении указанного срока данные подлежат уничтожению.

Порядок уничтожения: данные удаляются автоматически по истечении срока хранения в системе Яндекс.Метрика. При отзыве согласия субъектом персональных данных обработка прекращается незамедлительно путём отключения счётчика для данного пользователя. Факт прекращения обработки фиксируется.

6.4. Цель обработки: обработка персональных данных работников и иных лиц в рамках трудовых и гражданско-правовых отношений

Категории субъектов: работники Оператора, бывшие работники, соискатели на вакантные должности, контрагенты (исполнители по гражданско-правовым договорам).

Перечень персональных данных: фамилия, имя, отчество; дата и место рождения; адрес регистрации и фактического проживания; паспортные данные; ИНН, СНИЛС; контактные данные (телефон, email); сведения об образовании, квалификации; сведения о трудовой деятельности; банковские реквизиты.

Правовые основания обработки:

—              исполнение трудового договора (ст. 86–90 ТК РФ, п. 5 ч. 1 ст. 6 Закона);

—              деятельность по договору гражданско-правового характера (п. 5 ч. 1 ст. 6 152-ФЗ)

—              осуществление функций, полномочий и обязанностей, возложенных законодательством РФ на работодателя (п. 2 ч. 1 ст. 6 Закона);

—              согласие субъекта персональных данных (при необходимости).

Способы обработки: смешанная обработка (автоматизированная и неавтоматизированная): сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача уполномоченным органам, обезличивание, уничтожение.

Срок обработки: в течение срока действия трудового (гражданско-правового) договора. После прекращения трудовых (договорных) отношений — в течение сроков, установленных законодательством РФ (трудовое, налоговое, архивное законодательство).

Срок хранения: 75 лет с момента создания документов, содержащих персональные данные работников, в соответствии с требованиями архивного законодательства (Приказ Росархива от 20.12.2019 № 236). Бухгалтерские документы — 5 лет. После истечения установленных сроков хранения персональные данные подлежат уничтожению.

Порядок уничтожения: по истечении сроков хранения Оператор формирует акт о выделении документов к уничтожению. Документы на бумажных носителях уничтожаются путём шредирования. Электронные данные удаляются из информационных систем безвозвратно. Составляется акт об уничтожении персональных данных с подписями ответственных лиц.

7. Условия обработки персональных данных

7.1. Обработка персональных данных осуществляется при наличии хотя бы одного из следующих условий:

—              субъект персональных данных дал согласие на обработку его персональных данных;

—              обработка необходима для достижения целей, предусмотренных международным договором РФ или законом;

—              обработка необходима для исполнения договора, стороной которого является субъект персональных данных;

—              обработка необходима для осуществления прав и законных интересов Оператора;

—              обработка осуществляется в целях, предусмотренных федеральными законами.

7.2. Оператор не осуществляет обработку специальных категорий персональных данных (о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья и т.п.) без наличия оснований, предусмотренных ч. 2 ст. 10 Закона.

8. Меры по обеспечению безопасности и защиты персональных данных

В соответствии с требованиями ч. 2 ст. 18.1 и ст. 19 Закона Оператор реализует следующие меры по защите персональных данных:

8.1. Правовые меры:

—              разработка и утверждение настоящей Политики и иных локальных актов по вопросам обработки и защиты персональных данных;

—              заключение соглашений о конфиденциальности с работниками, имеющими доступ к персональным данным;

—              назначение лица, ответственного за организацию обработки персональных данных.

8.2. Организационные меры:

—              определение перечня лиц, допущенных к обработке персональных данных;

—              проведение инструктажа и обучения работников, осуществляющих обработку персональных данных;

—              контроль за соблюдением требований законодательства о персональных данных и настоящей Политики;

—              ограничение физического доступа к местам хранения персональных данных на бумажных носителях.

8.3. Технические меры:

—              использование средств защиты информации (антивирусная защита, межсетевое экранирование);

—              обеспечение учёта машинных носителей персональных данных;

—              резервное копирование данных;

—              защита персональных данных от несанкционированного доступа с использованием паролей и разграничения прав доступа;

—              обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию.

8.4. Уровень защищённости информационных систем персональных данных устанавливается в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.

9. Порядок сбора, хранения, передачи и других видов обработки персональных данных

9.1. Оператор обеспечивает сохранность персональных данных и принимает все необходимые меры, исключающие доступ к персональным данным неуполномоченных лиц.

9.2. Персональные данные пользователя не будут переданы третьим лицам, за исключением следующих случаев:

—              исполнение требований действующего законодательства (передача уполномоченным государственным органам по их запросу);

—              передача ЕАИС (Единой автоматизированной информационной системе) сведений о продаже билетов в соответствии с требованиями законодательства в сфере культуры;

—              субъект персональных данных дал согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.

9.3. В случае выявления неточностей в персональных данных Пользователь может актуализировать их, направив Оператору уведомление на электронную почту triada-theatre@mail.ru с пометкой «Актуализация персональных данных».

9.4. Пользователь может в любой момент отозвать своё согласие на обработку персональных данных, направив Оператору уведомление на электронный адрес triada-theatre@mail.ru с пометкой «Отзыв согласия на обработку персональных данных». Образец заявления можно найти на сайте triadatheatre.ru, на странице Документы (https://triadatheatre.ru/dokumenty). После получения отзыва согласия Оператор прекращает обработку персональных данных и обеспечивает их уничтожение в срок, не превышающий 30 дней с даты отзыва согласия, за исключением случаев, когда Оператор вправе продолжить обработку при наличии иных правовых оснований, предусмотренных законодательством Российской Федерации.

9.5. Оператор обеспечивает конфиденциальность персональных данных всех субъектов, чьи данные обрабатываются в рамках настоящей Политики.

10. Трансграничная передача персональных данных

10.1. Оператор не осуществляет трансграничную передачу персональных данных.

10.2. В случае необходимости осуществления трансграничной передачи персональных данных Оператор обязан до её начала уведомить уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять трансграничную передачу персональных данных в порядке, установленном ч. 3 ст. 12 Закона.

11. Порядок реализации прав субъектов персональных данных

11.1. Субъект персональных данных вправе обратиться к Оператору с запросом о предоставлении информации об обработке его персональных данных, потребовать их уточнения, блокирования или уничтожения.

11.2. Обращения и запросы субъектов персональных данных принимаются по электронной почте: triada-theatre@mail.ru или по адресу: 680000, г. Хабаровск, ул. Ленина, д. 27.

11.3. Оператор рассматривает обращения субъектов персональных данных и направляет ответ в течение 30 дней с момента получения обращения.

12. Заключительные положения

12.1. Настоящая Политика вступает в силу с момента её утверждения и действует бессрочно до замены новой версией.

12.2. Пользователь может получить любые разъяснения по вопросам обработки его персональных данных, обратившись к Оператору по электронной почте triada-theatre@mail.ru.

12.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://triadatheatre.ru/politika-v-otnoshenii-obrabotki-personalnyh-dannyh, а также доступна с каждой страницы Сайта, на которой осуществляется сбор персональных данных.

12.4. В данном документе отражаются любые изменения политики обработки персональных данных Оператором. При существенном изменении условий обработки персональных данных Оператор уведомляет субъектов персональных данных посредством публикации обновлённой Политики на Сайте.

12.5. По всем вопросам, связанным с обработкой персональных данных, следует обращаться к ответственному за организацию обработки персональных данных по адресу электронной почты: triada-theatre@mail.ru.