Положение «Об обеспечении безопасности персональных данных пользователей ТОГБУК «Тамбовская областная детская библиотека»
1. Общие положения
1.1. Настоящее Положение регулирует правоотношения между ТОГБУК «Тамбовская областная детская библиотека» (далее – Библиотека) и физическим лицом, являющимся пользователем Библиотеки, возникающие в процессе сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, обезличивания, блокирования и уничтожения его персональных данных, осуществляемых с использованием средств автоматизации и (или) без использования таких средств.
1.2. Целью настоящего Положения является соблюдение прав пользователей на неприкосновенность частной жизни, личную и семейную тайну при обработке его персональных данных.
1.3. Настоящее положение разработано в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в редакции Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 366-ФЗ).
1.4. Основные понятия, используемые в настоящем Положении:
персональные данные – любая информация, относящаяся к определенному физическому лицу (пользователю Библиотеки), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное положение, образование, профессия, другая информация;
обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
использование персональных данных – действия (операции) с персональными данными, совершаемые оператором (Библиотекой) в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
2. Принципы обработки персональных данных пользователей
2.1. Обработка персональных данных пользователей Библиотеки осуществляется в целях:
исполнения Библиотекой Федерального закона от 29 декабря 1994 г. № 78-ФЗ «О библиотечном деле»;
исполнения Постановления Федеральной службы государственной статистики от 11 июля 2005 г. № 43 «Об утверждении статистического инструментария для организации Роскультурой статистического наблюдения за деятельностью организаций культуры, искусства и кинематографии» (для государственной статистики организаций культуры).
повышения оперативности и качества обслуживания читателей, организации адресного, дифференцированного и индивидуального обслуживания, а также целей и задач, определённых Правилами пользования ТОГБУК «Тамбовская областная детская библиотека».
2.2. Персональные данные пользователей обрабатываются Библиотекой в соответствии со ст.5 и ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в редакции Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 366-ФЗ) и с их письменного согласия, подтверждаемого собственноручной подписью читателя, либо его законного представителя.
2.3. Персональные данные пользователей являются конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы Библиотекой для целей, не перечисленных в п. 2.1 настоящего Положения.
2.4. Передача персональных данных читателя или их части третьим лицам допускается только в случаях, предусмотренных действующим законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации. Решение о передаче персональных данных пользователей третьим лицам может быть принято только директором библиотеки, или лицом, его замещающим.
2.5. Обработка персональных данных пользователей Библиотеки осуществляется как с использованием средств автоматизации (электронная база читателей в среде автоматизированной информационно-библиотечной системы «АС-Библиотека-3» (модуль «Читатель»), так и без использования таковых.
2.6. Поименный список сотрудников, имеющих доступ к персональным данным пользователей Библиотеки, утверждается приказом директора Библиотеки.
3. Источники персональных данных пользователей
3.1. Источниками персональных данных пользователей являются:
электронная база читателей «АС-Библиотека-3», в которую на основании предъявленного документа вносятся персональные данные пользователя;
регистрационная карточка читателя; распечатывается на основе электронной баз;
формуляр читателя – документ установленного образца, в котором регистрируется получение и возврат пользователем документов из фондов Библиотеки, который заполняется сотрудниками отделов.
3.2. Перечень персональных данных, которые могут быть внесены в электронную базу читателей и регистрационную карточку пользователя (Приложение 1):
фамилия, имя и отчество пользователя;
дата рождения;
место работы или учебы;
рабочий телефон
домашний адрес и телефон.
3.3. Перечень персональных данных, которые могут быть внесены в формуляр пользователей-детей:
фамилия, имя и отчество
фамилии, имена, отчества и рабочие телефоны родителей;
школа, класс;
домашний адрес (регистрация и фактический);
домашний телефон.
3.4. Перечень персональных данных, которые могут быть внесены в формуляр пользователей-взрослых:
фамилия, имя и отчество;
дата рождения;
место работы, должность;
домашний адрес (регистрация и фактический);
контактный телефон.
3.5. Перечень персональных данных, которые могут быть внесены в поручительство (Приложение 2):
фамилия и имя пользователя-ребёнка;
школа, класс;
фамилия, имя, отчество поручителя;
домашний адрес и телефон;
место работы родителей;
контактные телефоны родителей;
3.6. Открытые персональные данные, вносимые в формуляр пользователя: фамилия, имя, номер формуляра.
4. Обработка персональных данных пользователей без использования средств автоматизации
4.1. Источники персональных данных пользователей Библиотеки на бумажном носителе хранятся:
в секторе регистрации и учёта пользователей – в сейфе (регистрационная карточка);
в отделах обслуживания (читательский формуляр);
4.2. Работники отделов обслуживания вправе передавать персональные данные читателя работникам администрации в объеме, необходимом для исполнения ими служебных обязанностей, а также в случаях, установленных законодательством.
4.3. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных пользователей, определяются Инструкцией по работе с персональными данными пользователей.
4.4. Срок обработки персональных данных Библиотекой – в течение 5 (пяти) лет с момента последней перерегистрации читателя. По истечении срока обработки источники персональных данных на бумажном носителе (регистрационная карточка, формуляр) уничтожаются. Если пользователь имеет задолженность: взятые во временное пользование и не возвращенные документы из фондов Библиотеки, Библиотека оставляет за собой право на сохранение его персональных данных до погашения задолженности. В случае прямого отказа пользователя от услуг библиотеки и отзыва согласия на обработку его персональных данных, формуляр читателя и регистрационная карточка хранятся в течение пяти лет с момента последней перерегистрации, а персональные данные пользователя в электронной базе читателей уничтожаются.
4.6.Уточнение персональных данных производится путем обновления или изменения данных в электронной базе читателей с последующей распечаткой на новый бумажный носитель (регистрационную карточку, формуляр). При необходимости изменить небольшой объем персональных данных на бумажном носителе (класс учебного заведения, или фамилию пользователя) такая замена может быть произведена путем вымарывания устаревших данных и занесения новых.
5. Обработка персональных данных пользователей с использованием средств автоматизации.
5.1. Персональные данные пользователей Библиотеки обрабатываются в среде «АС-Библиотека-3» (модуль «Читатель»).
5.1.2. Доступ к электронной базе данных пользователей Библиотеки ограничен и возможен только для лиц, включенных в перечень сотрудников, имеющих доступ к персональным данным пользователей Библиотеки, утвержденный приказом директора Библиотеки.
5.1.3. Логин и пароль сотрудника, имеющего право санкционированного доступа к электронной базе читателей, известен только сотруднику- администратору «АС-Библиотека-3» (модуль «Читатель») и заведующим отделами.
5.1.5. Мероприятия по защите персональных данных пользователей, в среде «АС-Библиотека-3» (модуль «Читатель») осуществляет заместитель директора по НИТ.
6. Права пользователей Библиотеки
6.1. В соответствии со ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в редакции Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 366-ФЗ), пользователь имеет право на:
получение сведений о наличии у Библиотеки его персональных данных;
ознакомление с такими персональными данными;
информацию о целях и сроках их обработки;
получение сведений о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ.
6.2. Пользователь вправе требовать от Библиотеки уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7. Обязанности Библиотеки в отношении обработки персональных данных пользователей.
7.1. Библиотека при обработке персональных данных принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, распространения персональных данных, а также от иных неправомерных действий.
7.2. Библиотека осуществляет передачу персональных данных пользователя только в соответствии с настоящим Положением и действующим законодательством.
7.3. Библиотека обязана в порядке, предусмотренном п. 6 настоящего Положения, сообщить пользователю информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними при обращении читателя в течение трех рабочих дней с даты получения запроса.
7.4. Библиотека обязана внести по требованию пользователя необходимые изменения, блокировать его персональные данные по предоставлении сведений, подтверждающих, что персональные данные этого пользователя являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.5. По истечении 5 (пяти) лет с момента последнего уточнения персональных данных (перерегистрации) пользователя Библиотека прекращает обработку его персональных данных, уничтожает его персональные данные в электронной базе читателей и на бумажных носителях (регистрационную карточку, формуляр). Уничтожение персональных данных производятся только при условии, что пользователь не имеет задолженности перед Библиотекой. В противном случае, персональные данные блокируются и уничтожаются только после снятия задолженности.
8. Ответственность Библиотеки и ее сотрудников
8.1. Согласно ст. 24 Федерального Закона «О персональных данных» (в редакции Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 366-ФЗ) на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность
8.2. Одним из главных требований к организации мероприятий по обеспечению требований действующего законодательства в области защиты персональной информации является личная ответственность каждого сотрудника Библиотеки, имеющего доступ к персональным данным пользователей в соответствии со своими полномочиями, за нарушение правил, обработки, режима защиты и использования этой информации. Каждый сотрудник Библиотеки, непосредственно работающий с источниками персональных данных, как на бумажных, так и на электронных носителях и своевременно проинформированный о факте обработки им персональных данных несет единоличную ответственность за соблюдение норм «О персональных данных» (в редакции Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 366-ФЗ).
8.3. Ответственность за не информирование, или несвоевременное информирование сотрудников Библиотеки о факте обработки ими персональных данных, а также о правилах осуществления такой обработки, установленных действующим законодательством несет директор Библиотеки. Доказательством своевременного информирования в этом случае является личная подпись сотрудника в Приказе, определяющем перечень лиц, имеющих допуск к персональным данным пользователей и листе ознакомления с настоящим Положением.
8.4. Ответственность за не информирование, или несвоевременное информирование сотрудников структурного подразделения, имеющих доступ к персональным данным пользователей, о порядке работы с персональными данными непосредственно на рабочем месте несет заведующий структурным подразделением. Доказательствами своевременного информирования сотрудников о порядке работы с персональными данными являются подпись сотрудника в его должностной инструкции, и подпись в листе ознакомления с Инструкцией по работе с персональными данными пользователей.
8.5. Ответственность за неисполнение или ненадлежащее исполнение мероприятий по нейтрализации и предотвращению модели угроз системы «АС-Библиотека-3» (модуль «Читатель»), а также не информирование или несвоевременное информирование администрации Библиотеки об обстоятельствах, препятствующих проведению указанных мероприятий, несет заведующий отделом. ?
Приложение 1
Регистрационная карточка пользователя
Приложение 2
Поручительство
|