Приложение № 1

УТВЕРЖДЕНО

приказом ГБУК РК

«КРУНБ им. И.Я. Франко»

от 21.09.2022 г. № 57/1

Политика
обработки и защиты персональных данных
в Государственном бюджетном учреждении культуры Республики Крым «Крымская республиканская универсальная научная библиотека им. И.Я. Франко»

I. Общие положения

1.1. Политика обработки и защиты персональных данных в Государственном бюджетном учреждении культуры Республики Крым «Крымская республиканская универсальная научная библиотека им. И.Я. Франко» (далее – Политика) определяет политику Государственного бюджетного учреждения культуры Республики Крым «Крымская республиканская универсальная научная библиотека им. И.Я. Франко» (далее – ГБУК РК «КРУНБ им. И. Я. Франко», Библиотека, Оператор) как оператора, осуществляющего обработку персональных данных и устанавливают цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными, процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
Политика разработана в соответствии с Трудовым кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», иными нормативно-правовыми актами, действующими на территории России.
1.2. Основные понятия, используемые в Политике:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3. Политика и изменения к ней утверждаются руководителем Библиотеки и вводятся его приказом. Все работники Библиотеки должны быть ознакомлены под подпись с данной Политикой и изменениями к ней. Также Политика и изменения к ней публикуются на сайте Библиотеки в течение 10 дней с момента утверждения (в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
1.4. Обработка персональных данных в Библиотеке выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
1.5. Сбор персональных данных осуществляется непосредственно от субъектов персональных данных путем:
1.5.1. Получения заявлений, анкет, обращений, договоров и других документов, содержащих персональные данные;
1.5.2. Получения подлинников документов, необходимых для подтверждения предоставленных сведений;
1.5.3. Копирования подлинников документов;
1.5.4. Заверения необходимых копий документов;
1.5.5. Внесения сведений в учётные формы (на бумажных и электронных носителях);
1.5.6. Внесения персональных данных в автоматизированные системы, печатные издания, издаваемые Библиотекой, размещения на сайте и электронных порталах Библиотеки.
1.6. Субъектами персональных данных в Библиотеке являются:
Работники Библиотеки;
Лица, состоящие в родстве с работниками Библиотеки;
Лица, представляемые к награждению, наградные материалы по которым представлены в Библиотеку;
Пользователи государственных услуг, предоставляемых Библиотекой, и посетители Библиотеки (далее – посетители, пользователи);
Лица, сотрудничающие с Библиотекой, осуществляющие дарение, поставку, выполняющие работы, оказывающие услуги для обеспечения деятельности Библиотеки;
Лица, обратившиеся в Библиотеку;
Лица, предоставившие персональные данные для размещения в общедоступных источниках персональных данных (в печатных изданиях, издаваемых Библиотекой, на сайте и электронных порталах Библиотеки).
1.7. Обработка персональных данных в Библиотеке осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
1.8. Срок хранение персональных данных не должен быть дольше, чем этого требуют цели обработки персональных данных. Если срок хранения персональных данных не установлен федеральным законом либо контрактом/договором/соглашением, стороной которого является субъект персональных данных, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
1.9. Согласие на обработку персональных данных может быть отозвано на основании письменного заявления субъекта персональных данных в произвольной форме. Библиотека обязана прекратить обработку и уничтожить персональные данные в трехдневный срок с даты поступления отзыва. Об уничтожении персональных данных Библиотека обязана уведомить субъекта персональных данных.
1.10. Сведения о персональных данных являются конфиденциальной информацией и охраняются законом.
1.11. Библиотека вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону в отношениях, обусловленных трудовым договором, гражданско-правовым договором, и/или иными отношениями с Библиотекой в качестве субъекта персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
Персональные данные субъектов персональных данных могут обрабатываться в иных целях, указанных в письменном согласии субъекта персональных данных.
1.12. Передача (распространение, предоставление) и использование персональных данных осуществляется в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
1.13. Передача персональных данных без согласия субъектов персональных данных допускается, если это необходимо для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации, по мотивированным запросам правоохранительных органов и иных органов государственной власти в рамках установленных полномочий, а также в иных случаях предусмотренных федеральными законами.
1.14. Передача персональных данных субъектов персональных данных третьим лицам, за исключением указанных в настоящей Политике, осуществляется с письменного согласия субъектов персональных данных, составленного по установленной форме (Приложение № 8 к приказу № 88 от 28.10.2019г.), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации и иными федеральными законами.
1.15. Если информация о персональных данных ранее стала общедоступной либо была раскрыта самим гражданином или по его воле, получение согласия на обработку таких персональных данных не требуется (ст. ст. 152.1, 152.2 Гражданского кодекса Российской Федерации).
1.16. Передача персональных данных третьим лицам осуществляется только после получения от третьего лица заверенных в установленном порядке документов, подтверждающих выполнение условий соблюдения конфиденциальности и обеспечения безопасности персональных данных при их обработке.
1.17. При получении персональных данных непосредственно от субъектов персональных данных, работник, осуществляющий сбор данных, обязан разъяснить юридические последствия отказа предоставить персональные данные.

II. Основные права и обязанности Библиотеки как оператора персональных данных, права Субъекта персональных данных

2.1.1. Библиотека имеет право:
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено нормами действующего законодательства;
поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Библиотеки, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных Библиотека вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных».
2.1.2. Библиотека обязана:
организовывать обработку персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;
отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями действующего законодательства;
сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса (ст. 20 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»). Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Библиотеке необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
2.2. Основные права субъекта персональных данных.
Субъект персональных данных имеет право:
получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Библиотекой в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен действующим законодательством;
требовать от Библиотеки уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Библиотеки при обработке его персональных данных.
2.3. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Библиотеке.
2.4. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Библиотеки в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

III. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных

3.1. Обработка и хранение персональных данных в связи с реализацией трудовых отношений

3.1.1. Персональные данные лиц, находящихся с Библиотекой в трудовых отношениях и их родственников, обрабатываются в целях выполнения возложенных на Библиотеку, как работодателя, функций и полномочий, обеспечения кадровой работы, в том числе в целях содействия в выполнении осуществляемой работы, обучения и должностного роста, учёта результатов исполнения работником должностных обязанностей, контроля соблюдения трудовой дисциплины и обеспечение объективности при вынесении дисциплинарных взысканий, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, представления к награждению, в порядке, установленном действующим законодательством, безопасности работников и сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
3.1.2. В целях, указанных в пункте 3.1.1. настоящей Политики, обрабатываются следующие категории персональных данных:
Фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества, дата, место и причина изменения в случае их изменения);
Пол;
Число, месяц, год рождения;
Место рождения;
Сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);
Сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
Сведения об ученой степени, ученом звании;
Сведения о профессиональной переподготовке и (или) повышении квалификации;
Сведения о владении иностранными языками, степень владения;
Сведения о наличии или отсутствии судимости;
Сведения о трудовой деятельности (включая работу по совместительству, предпринимательскую и иную деятельность);
Сведения о государственных наградах, иных наградах и знаках отличия;
Сведения о семейном положении, о составе семьи;
Отношение к воинской обязанности, сведения о военной службе и воинском учете, реквизиты документов воинского учета;
Адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
Номер контактного телефона, электронной почты или сведения о других способах связи;
Вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
Реквизиты страхового свидетельства обязательного пенсионного страхования;
Идентификационный номер налогоплательщика;
Реквизиты страхового медицинского полиса обязательного медицинского страхования;
Реквизиты свидетельств государственной регистрации актов гражданского состояния;
Сведения об отсутствии у гражданина медицинских противопоказаний для работы с вредными условиями труда;
Сведения о прохождении гражданской/военной и приравненной к ним службы (работы);
Сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
Сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
Номер расчётного счёта (номера расчётных счетов);
Номер банковской карты (номера банковских карт);
Биометрические персональные данные (фото, видеосъемка);
Иные персональные данные, необходимые для достижения целей, предусмотренных настоящей Политикой.
3.1.3. Субъекты персональных данных – работники Библиотеки, при поступлении на работу заполняют анкету, в которой указывают следующие сведения о себе: пол; дату рождения; семейное положение; сведения о членах семьи; отношение к воинской обязанности; местожительство и домашний телефон; образование, специальность; иные сведения, с которыми работник считает нужным ознакомить работодателя.
Субъекты персональных данных – лица, представляемые к награждению, наградные материалы по которым представлены в Библиотеку, предоставляют персональные данные, необходимые для оформления документов на представление к награждению, в соответствии с действующим законодательством.
3.1.4. Работник отдела организационной и кадровой работы (далее – кадровое подразделение), проверяет достоверность сведений, сверяя предоставленные данные с представленными документами.
3.1.5. Библиотека как работодатель может не запрашивать согласия на обработку персональных данных у работников и соискателей для заключения трудового и гражданско-правового договора для: направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д., во всех случаях, когда работодатель исполняет возложенные на него законодательством обязанности (пункты 2 – 11части 1 статьи 6, статьи 7, части 2 статьи 10 части 2 статьи 10, части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
3.1.6. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 календарных дней.
3.1.7. Работодатель вправе получать биометрические персональные данные работника из системы видеонаблюдения при наличии согласия (Приложение № 5 к приказу от 28.10.2019 № 88).
3.1.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, полученных в связи с трудовыми отношениями, осуществляется путём:
Непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные документы);
Копирования оригиналов документов;
Внесения сведений в учётные формы (на бумажных и электронных носителях);
Формирования персональных данных в ходе кадровой работы;
Формирования и обработки персональных данных в ходе реализации полномочий в сфере противодействия коррупции;
Внесения персональных данных в электронные программы, базы данных, информационные системы (далее – автоматизированные системы).
3.1.9. Обработка персональных данных в связи с реализацией трудовых отношений осуществляется структурными подразделениями Библиотеки: администрацией, бухгалтерией, отделом организационной и кадровой работы, отделом безопасности и обеспечения работы инженерных систем, отделом автоматизации библиотечных процессов.
3.1.10. Порядок хранение персональных данных субъектов персональных данных, указанных в пункте 3.1. настоящей Политики:
3.1.10.1. Доступ к персональным данным имеют:
– руководитель Библиотеки, его заместители;
– специалисты администрации, кадрового подразделения, бухгалтерии, отдела автоматизации библиотечных процессов, отдела безопасности и обеспечения работы инженерных систем имеют доступ к тем персональным данным, которые необходимы для выполнения их должностных обязанностей (Приложение № 2 к приказу от 28.10.2019 г.№ 88);
– работники отдела безопасности и обеспечения работы инженерных систем и работники охранной организации, состоящей с Библиотекой в договорных отношениях, имеют доступ к биометрическим персональным данным работников, полученных при использовании системы видеонаблюдения.
Доступ специалистов других отделов к персональным данным работника осуществляется на основании письменного разрешения работника.
3.1.11. Ведение личных дел и личных карточек работников возложено на кадровое подразделение.
3.1.12. В личном деле работника хранится анкета и вся информация, относящаяся к персональным данным работника.
3.1.13. Личные дела и личные карточки в бумажном виде хранятся в папках. Папки с личными делами и личные карточки хранятся в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа.
3.1.14. Трудовые книжки работников хранятся в сейфе.
3.1.15. Персональные данные работников могут также храниться в автоматизированных системах, в системе контроля управления доступа (СКУД), системе видеонаблюдения.
3.1.16. Доступ к автоматизированным системам, содержащим персональные данные работников, осуществляется в соответствии с настоящей Политикой.
3.1.17. Доступ к системе контроля управления доступа (СКУД), системах видеонаблюдения осуществляется в соответствии с Положением о системе видеонаблюдения в ГБУК РК «КРУНБ им. И. Я. Франко» (Приложение №1 к приказу от 27.12.2019 № 110).
3.2. Обработка и хранение персональных данных в связи с предоставлением государственных услуг
3.2.1. Персональные данные лиц, пользователей государственных услуг, предоставляемых Библиотекой (посетители, пользователи, читатели), обрабатываются в целях предоставления посетителям, читателям, пользователям государственных услуг (библиотечного, библиографического и информационного обслуживания).
3.2.2. Персональные данные читателей обрабатываются на основании их письменного согласия, подтверждаемого собственноручной подписью читателя, либо его законного представителя, в формуляре читателя, карточке регистрации читателя, договоре на библиотечное обслуживание.
3.2.3. Обработка персональных данных в целях, указанных в пункте 3.2. настоящей Политики, может осуществляться без согласия субъектов персональных данных, в соответствии со статьями 152.1 и 152.2 Гражданского кодекса Российской Федерации, с Федеральными законами от 06.03.2006 г. № 35-ФЗ «О противодействии терроризму», от 25.07.2002 г. № 114-ФЗ «О противодействии экстремистской деятельности», части 1 статьи 6, статьи 7, части 2 статьи 11 Федерального закона от 27.07.2006 г.№ 152-ФЗ «О персональных данных», Федерального закона от 27.07.2010 г.№ 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федеральным законом от 02.05.2006 г.№ 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и иными нормативными правовыми актами, определяющими предоставление государственных услуг в установленной сфере деятельности Библиотеки.
3.2.4. При обработке персональных данных, необходимых в целях, указанных в пункте 3.2. настоящей Политики, запрещается запрашивать у субъектов персональных данных и третьих лиц персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
3.2.5. В целях, указанных в пункте 3.2. настоящей Политики, обрабатываются следующие категории персональных данных читателей:
Фамилия, имя, отчество (последнее при наличии);
Число, месяц, год рождения;
Пол;
Гражданство;
Адрес места жительства (места пребывания, места нахождения);
Номер контактного телефона, электронной почты или сведения о других способах связи;
Место работы и/или место учёбы;
Сведения о трудовой деятельности: место работы, профессия, должность;
Сведения об образовании: место учебы, уровень образования, учёная степень;
Биометрические персональные данные (фото, видеосъемка);
Вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом настоящей Политикой.
3.2.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных читателей производится работниками отдела регистрации и учёта.
3.2.7. Персональные данные читателей хранятся и обрабатываются на бумажном носителе (формуляр читателя, регистрационная карточка читателя, договор на библиотечное обслуживание), в электронном виде в специализированной программе АБИС «ИРБИС 64» (каталогизатор), в системе контроля управления доступа (СКУД) и видеонаблюдения.
3.2.8. Работники отдела регистрации и учёта вправе передавать персональные данные пользователя работникам других структурных подразделений Библиотеки с целью и в объёме, необходимом для предоставления государственной услуги.
3.2.9. Работники отдела безопасности и обеспечения работы инженерных систем и работники охранной организации, состоящей с Библиотекой в договорных отношениях, имеют доступ к биометрическим персональным данным посетителей, пользователей Библиотеки, полученных при использовании систем контроля управления доступа (СКУД) и видеонаблюдения.
3.2.10. Работники отдела безопасности и обеспечения работы инженерных систем и работники охранной организации вправе передавать персональные данные посетителей, пользователей Библиотеки, работникам других структурных подразделений Библиотеки с целью и в объёме, необходимом для обеспечения безопасности, предотвращения и(или) расследования правонарушений.
3.2.11. Библиотека может передавать персональные данные посетителей, пользователей Библиотеки третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья, в случае составления в отношении посетителя, пользователя протокола об административном правонарушении, по запросу уполномоченных органов, если это предусмотрено федеральным законом (статья 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»), а также в иных случаях, установленных действующим законодательством.
3.2.12. Персональные данные пользователя (читателя) уточняются при каждом посещении Библиотеки, а также при окончании срока действия читательского билета. В случае изменения персональных данных читателя, работник отдела регистрации и учёта переоформляет формуляр читателя, регистрационную карточку читателя, договор на библиотечное обслуживание, уничтожает бумажные носители с данными, утратившими актуальность.
3.2.13. Персональные данные пользователя (читателя) обрабатываются и хранятся в течение трех лет с момента последней перерегистрации пользователя (читателя). По истечении указанного срока персональные данные подлежат уничтожению при условии отсутствия задолженности. При наличии задолженности персональные данные пользователя (читателя) блокируются и уничтожаются (обезличиваются) только после устранения задолженности.

3.3. Обработка и хранение персональных данных в связи с обеспечением деятельности Библиотеки

3.3.1. Персональные данные лиц, заключивших контракты/договора/соглашения, в целях обеспечения деятельности Библиотеки, могут обрабатываться без их согласия, в соответствии с подпунктом 5 части 1 статьи 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
3.3.2. В целях, указанных в пункте 3.3.1. настоящей Политики, обрабатываются следующие категории персональных данных:
Фамилия, имя, отчество (последнее при наличии);
Адрес места жительства (места пребывания, места нахождения);
Номер контактного телефона, электронной почты или сведения о других способах связи;
Вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
Идентификационный номер налогоплательщика;
Сведения о регистрации в качестве индивидуального предпринимателя;
Сведения, содержащиеся в контракте/договоре/соглашении;
Номер расчётного счёта;
Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3.3.1. настоящей Политики.
3.3.3. Сбор, запись, систематизация и уточнение (обновление, изменение) персональных данных, указанных в пункте 3.3.1. настоящей Политики производится работниками структурных подразделений: администрации, бухгалтерии, отдела комплектования.

3.4. Обработка и хранение персональных данных в связи с ответами на поступившие обращения
3.4.1. Персональные данные лиц, обратившихся в Библиотеку, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением о результатах рассмотрения обращения.
3.4.2. Обработка персональных данных в целях, указанных в пункте 3.4.1. настоящей Политики, может осуществляться без согласия субъектов персональных данных, в соответствии с пунктом 6 части 1 статьи 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
3.4.3. В случае если в письменном обращении не указаны фамилия гражданина, направившего обращение, или почтовый адрес, по которому должен быть направлен ответ, ответ на обращение не предоставляется.
3.4.4. В целях, указанных в пункте 3.4.1. настоящей Политики, обрабатываются следующие категории персональных данных:
Фамилия, имя, отчество (последнее при наличии);
Адрес места жительства (места пребывания, места нахождения);
Номер контактного телефона, электронной почты или сведения о других способах связи;
Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6.1. настоящих Правил.
Сбор, запись, систематизация и уточнение (обновление, изменение) персональных данных, указанных в пункте 3.4. настоящей Политики производится документоведом отдела организационной и кадровой работы.

3.5. Обработка и хранение персональных данных предоставленных для размещения в общедоступных источниках персональных данных

3.5.1. Персональные данные лиц, предоставленные для размещения в общедоступных источниках, обрабатываются в целях размещения в печатных изданиях, издаваемых Библиотекой, на сайте и электронных порталах Библиотеки, в соответствии со статьей 8 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
3.5.2. В целях, указанных в пункте 3.5.1. настоящей Политики, обрабатываются следующие категории персональных данных:
Фамилия, имя, отчество (последнее при наличии);
Вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
Адрес места жительства (места пребывания, места нахождения);
Номер контактного телефона, электронной почты или сведения о других способах связи;
Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3.5.1. настоящей Политики.
3.5.3. Хранение персональных данных осуществляется в течение срока действия авторского права на произведения, предоставленные указанными лицами.
3.5.4. Сбор, запись и уточнение (обновление, изменение) персональных данных, указанных в пункте 3.5. настоящей Политики а также хранение и систематизация производится ученым секретарем библиотеки.

IV. Порядок обработки персональных данных в автоматизированных системах

4.1. Обработка персональных данных осуществляется в автоматизированных системах (согласно утверждённого перечня) в соответствии с положениями постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об  утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.2. Автоматизированные системы содержат персональные данные работников, граждан и организаций, обратившихся в Библиотеку, в связи с предоставлением государственных услуг, а также в целях обеспечения деятельности Библиотеки.
4.3. Объём персональных данных, содержащихся в автоматизированных системах, не может превышать объём персональных данных, указанных в настоящей Политике.
4.4. Работникам Библиотеки, имеющим право осуществлять обработку персональных данных в автоматизированных системах (далее – регистраторам), предоставляется уникальный логин и пароль для доступа к соответствующей автоматизированной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями регистратора.
4.5. Плановое изменение паролей производится в сроки, устанавливаемые локальными нормативными актами.
4.6. Информация в автоматизированные системы может вноситься как в  автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе, или в ином виде, не позволяющем осуществлять её автоматическую регистрацию.
4.7. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных системах, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
Определение угроз безопасности сохранности персональных данных при их обработке в автоматизированных системах;
Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в автоматизированных системах;
Применение прошедших в установленном законодательством Российской Федерации порядке процедур оценки соответствия средств защиты информации;
Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию автоматизированных систем;
Учёт машинных носителей персональных данных;
Обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по их предотвращению и недопущению таких фактов в дальнейшем;
Восстановление персональных данных, модифицированных или удалённых, уничтоженных вследствие несанкционированного доступа к ним;
Установление правил доступа к персональным данным, обрабатываемым в автоматизированных системах, а также обеспечение регистрации и учёта всех действий, совершаемых с персональными данными в автоматизированных системах;
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности автоматизированных систем.
4.8. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

V. Обработка персональных данных в рамках межведомственного информационного взаимодействия с применением единой системы межведомственного электронного взаимодействия

5.1. Библиотека, в соответствии с Распоряжением Главы Республики Крым от 27.11.2014 г. № 282-рг «О системе электронного документооборота в Республики Крым», осуществляет обработку персональных данных в рамках межведомственного электронного информационного взаимодействия в электронном виде с органами исполнительной власти Республики Крым с применением системы электронного документооборота.
5.2. Библиотека в рамках электронного документооборота вправе направлять ответы на межведомственные запросы о предоставлении информации, включающей персональные данные субъектов, в органы исполнительной власти, в соответствии с настоящими Правилами.

VI. Работа с обезличенными данными в случае обезличивания персональных данных

6.1. Обезличивание персональных данных проводится с целью ведения статистического учёта и отчётности, снижения уровня защищенности автоматизированных систем, если иное не предусмотрено законодательством Российской Федерации.
6.2. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
6.3. Обезличенные персональные данные не подлежат разглашению.
6.4. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

VII. Хранение и обработка персональных данных

7.1. Персональные данные могут храниться как на бумажном носителе, так и в электронном виде.
7.2. Персональные данные, полученные на бумажном и/или электронном носителях, хранятся в соответствующих структурных подразделениях Библиотеки, к полномочиям которых относится обработка персональных данных (Приложение № 2 к приказу от 28.10.2019 г.№ 88).
7.3. Персональные данные на бумажном и/или электронном носителях хранятся в специально отведённом шкафу (сейфе – при наличии), обеспечивающем защиту от несанкционированного доступа.
7.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации.
7.5. Обеспечивается раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.
7.6. Персональные данные в электронном виде хранятся в автоматизированных системах, действующих в Библиотеке (Приложение № 9 к приказу от 28.10.2019 г.№ 88), а также размещаются на сайте и электронных порталах Библиотеки.
7.7. Доступ к автоматизированным системам, содержащим персональные данные, осуществляется в соответствии с настоящей Политикой.
7.8. Обработка персональных данных субъектов персональных данных, осуществляется в соответствии с настоящей Политикой и нормами действующего законодательства.
7.9. Сроки хранения документов на бумажных носителях, содержащих персональные данные субъектов персональных данных, определяются в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным приказом Минкультуры России от 25.08.2010 г. № 558 (далее – Перечень).
7.10. Срок хранения персональных данных, внесённых в автоматизированные системы, должен соответствовать сроку хранения на бумажных носителях.
7.11. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет начальник отдела по безопасности и обеспечения работы инженерных систем.

VIII. Порядок уничтожения персональных данных

8.1. Документы, содержащие персональные данные на бумажном носителе, срок хранения которых, в соответствии с Перечнем, превышает 10 лет, по истечении срока хранения в структурном подразделении, передаются на последующее хранение в архив Библиотеки.
8.2. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению в порядке, установленном Перечнем.
8.3. Документы и электронные носители, содержащие персональные данные, после достижения целей обработки персональных данных и утратой необходимости в их дальнейшем хранении, подлежат уничтожению.
8.4. Уничтожение документов и электронных носителей, содержащих персональные данные, производится комиссией, назначаемой, по мере необходимости, приказом руководителя Библиотеки из лиц, должности которых включены в Перечень должностей ГБУК РК «КРУНБ им. И. Я. Франко» замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение № 2 к приказу от 28.10.2019 г.№ 88). Факт уничтожения документов и электронных носителей, содержащих персональные данные, фиксируется в акте (Приложение № 16 к приказу от 28.10.2019 г.№ 88).
8.5. Уничтожение документов, содержащих персональные данные, производится путём механического уничтожения.
8.6. Уничтожение персональных данных на электронных носителях производится либо путём механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, либо удаления информации с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.7. Уничтожение персональных данных в автоматизированных системах производится регистратором путем удаления информации.

IX. Рассмотрение запросов субъектов персональных данных
или их представителей

9.1. Субъект персональных данных вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
9.2. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
Подтверждение факта обработки персональных данных в Библиотеке;
Правовые основания и цели обработки персональных данных;
Цели и применяемые в Библиотеке способы обработки персональных данных;
Наименование и место нахождения Библиотеки, сведения о лицах (за исключением работников Библиотеки), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Библиотекой, или на основании федерального закона;
Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
Сроки обработки персональных данных, в том числе сроки их хранения;
Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г.№ 152-ФЗ «О персональных данных»;
Информация об осуществленной или предполагаемой трансграничной передаче персональных данных;
Наименование организации или фамилию, имя, отчество (при наличии) и  адрес лица, осуществляющего обработку персональных данных по поручению Библиотеки, если обработка поручена или будет поручена такой организации или лицу;
Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
9.3. Субъекты персональных данных вправе требовать от Библиотеки уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не  являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.4. Информация, предусмотренная пунктом 9.2. настоящей Политики, должна быть предоставлена субъекту персональных данных Библиотекой в доступной форме и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
9.5. Информация, предусмотренная пунктом 9.2. настоящей Политики, предоставляется субъекту персональных данных или его представителю работником структурного подразделения Библиотеки, осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:
Номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;
Информацию, подтверждающую факт обработки персональных данных субъекта персональных данных в Библиотеке;
Подпись субъекта персональных данных или его представителя.
9.6. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.7. Если информация, предусмотренная пунктом 9.2. настоящей Политики, а также обрабатываемые персональные данные, были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться в Библиотеку лично или направить повторный запрос, в целях получения указанной информации и ознакомления с персональными данными, не ранее чем через 30(тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем, либо поручителем по которому является субъект персональных данных.
9.8. Субъект персональных данных вправе повторно обратиться в Библиотеку лично или направить повторный запрос в целях получения сведений, указанных в пункте 9.2. настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящей Политике, в случае, если такие сведения и (или) обрабатываемые персональные данные не были ему предоставлены для ознакомления в полном объёме по результатам рассмотрения первоначального обращения. Повторный запрос должен дополнительно содержать обоснование направления повторного запроса.
9.9. Библиотека вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным настоящей Политикой. Такой отказ должен быть мотивированным.
9.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 г.№ 152-ФЗ «О персональных данных», в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

X. Порядок доступа в помещения, в которых ведётся обработка персональных данных

10.1. Нахождение лиц в помещениях, в которых ведётся обработка персональных данных, возможно исключительно в присутствии работника, уполномоченного на обработку персональных данных и в течение времени, необходимом для решения вопросов, связанных с предоставлением персональных данных.
10.2. Ответственность за соблюдение порядка доступа в помещения, в которых ведётся обработка персональных данных, возлагается на работника, осуществляющего обработку персональных данных.

XI. Лицо, ответственное за организацию обработки и защиты персональных данных

11.1. Ответственность за организацию обработки и защиты персональных данных в Библиотеке возлагается на заместителя руководителя Библиотеки на основании приказа руководителя Библиотеки.
11.2. На лицо, ответственное за организацию обработки и защиты персональных данных (далее – ответственный за обработку и защиту персональных данных), возлагаются функции администратора безопасности обработки персональных данных в автоматизированных системах.
11.3. Ответственный за обработку и защиту персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящей Политикой.
11.4. Ответственный за обработку и защиту персональных данных обязан:
Организовать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Библиотеке, от  неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
Осуществлять внутренний контроль за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
Осуществлять контроль за удалением регистраторами персональных данных в автоматизированных системах;
Доводить до сведения работников, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, настоящую Политику, требования к защите персональных данных;
Организовать приём и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приёмом и обработкой таких обращений и запросов в Библиотеке;
В случае нарушения в Библиотеке требований к защите персональных данных, принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
11.5. Ответственный за обработку и защиту персональных данных вправе:
Иметь доступ к информации, касающейся обработки персональных данных в Библиотеке, включающей:
– цели обработки персональных данных;
– категории обрабатываемых персональных данных;
– категории субъектов персональных данных;
– правовые основания обработки персональных данных;
– дату начала обработки персональных данных;
– срок или условия прекращения обработки персональных данных;
– сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
Привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Библиотеке, иных работников Библиотеки;
Давать указания, обязательные для выполнения работниками, осуществляющими обработку персональных данных.
11.6. Ответственный за обработку и защиту персональных данных несёт ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в Библиотеке в соответствии со статьей 24 Федерального закона от 27.07.2006 г.№ 152-ФЗ «О персональных данных».

XII. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

12.1. Целью осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных является проверка соблюдения в Библиотеке законодательства Российской Федерации в области персональных данных.
12.2. Внутренний контроль подразделяется на плановый и внеплановый.
12.3. Плановый внутренний контроль осуществляется ответственным за обработку и защиту персональных данных, на основании разработанного им плана, утверждаемого руководителем Библиотеки.
12.4. Периодичность планового внутреннего контроля устанавливается локальными нормативными актами.
12.5. Внеплановый внутренний контроль проводится по решению ответственного за обработку и защиту персональных данных:
На основании устного обращения либо заявления субъекта персональных данных, поступившего в письменной форме или в форме электронного документа, о нарушении законодательства в области персональных данных;
В связи с проведением в Библиотеке государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
12.6. Внеплановый внутренний контроль может проводиться на основании решения руководителя Библиотеки или учредителя ГБУК РК «КРУНБ им. И. Я. Франко».
12.7. Внеплановый внутренний контроль должен быть завершен не позднее чем через месяц со дня принятия решения о его проведении.
12.8. Результаты внутреннего контроля оформляются в виде справки.
12.9. При выявлении в ходе внутреннего контроля нарушений, в справке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.
12.10. О результатах внутреннего контроля и мерах, необходимых для устранения выявленных нарушений, руководителю Библиотеки докладывает ответственный за обработку и защиту персональных данных.
12.11. В отношении персональных данных, ставших известными ответственному за обработку и защиту персональных данных в ходе проведения внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.
12.12. Оператор предпринимает действия, направленные на предотвращение и выявление нарушений Федерального закона «О персональных данных» (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г.№ 152-ФЗ «О персональных данных»).
12.13. Если оператор зафиксировал утечку персональных данных, он  в течение 24 часов уведомляет об этом Роскомнадзор (ч. 3.1 ст. 21 Федерального закона от 27.07.2006 г.№ 152-ФЗ «О персональных данных»). Оператор сообщает следующую информацию:
подробности инцидента;
причины утечки данных;
предполагаемый вред;
меры, которые принял оператор, чтобы устранить последствия;
сведения о лице, которое он уполномочил контактировать с сотрудниками Роскомнадзора
Уведомление осуществляется в произвольной форме если иная форма не установлена нормами действующего законодательства.
12.14. В течение 48 часов после того, как оператор сообщил в Роскомнадзор об утечке персональных данных, Оператор предоставляет отчет о внутреннем расследовании инцидента (ч. 3.1 ст. 21  Федерального закона от 27.07.2006 г.№ 152-ФЗ «О персональных данных»). Если утечка данных произошла в сети Интернет или с удаленного сервера, об инциденте необходимо сообщить также в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — ГосСОПКА). Сообщение осуществляется по телефону, факсимильной или электронной почтой.

XIII. Ответственность за нарушение требований законодательства Российской Федерации в области персональных данных

13.1. Работник Библиотеки, которому стали известны сведения о персональных данных в силу его служебного положения, несёт персональную ответственность за их неправомерное разглашение.
13.2. Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними, и после увольнения работника, которому стали известны сведения о персональных данных.
13.3. Ответственность за соблюдение порядка обработки персональных данных несёт руководитель структурного подразделения, осуществляющего обработку персональных данных.
13.4. Лица, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, несут личную ответственность за нарушение режима защиты персональных данных в соответствии со статьями 81, 90, 192 Трудового кодекса Российской Федерации, статьями 13.11, 13.12., 13.13., 13.14., 19.7. Кодекса Российской Федерации об административных правонарушениях, статьями 137, 140, 272 Уголовного кодекса Российской Федерации.

____________________________