Политика ГАУК ЯО «Ярославская государственная филармония» в области обработки и обеспечения защиты персональных данных

Утверждено приказом № 36 от 24 марта 2025 года

1. Общие положения
1.1. Настоящая Политика ГАУК ЯО «Ярославская государственная фи-лармония» в области обработки и обеспечения защиты персональных данных (далее – Политика) разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает ГАУК ЯО «Ярославская государственная филармония» (далее - Оператор).
1.3. Политика распространяется на отношения в области обработки и защиты персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора (www.yar-filarmoniya.ru).
1.5. Основные понятия:
персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу - субъекту персональных данных;
 оператор персональных данных, оператор – ГАУК ЯО «Ярославская государственная филармония», самостоятельно или совместно с другими лицами организующее или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными;
  обработка персональных данных – любое действие, операция или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования включая сбор, запись, систематизацию, накопление, хранение, уточнение, обновление или изменение, извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение;
 распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
сайт Оператора – официальный веб-сайт Оператора в информационно-телекоммуникационной сети Интернет (www.yar-filarmoniya.ru);
«Яндекс Метрика» — бесплатный интернет-сервис компании Яндекс, предназначенный для оценки посещаемости веб-сайтов и анализа поведения пользователей;
субъекты персональных данных:
работники Оператора  – физические лица, состоящие с Оператором в трудовых отношениях;
посетители мероприятий Оператора – физические лица, которым Оператор оказывает услуги;
контрагенты – физические лица, с которыми у Оператора существуют договорные отношения или с которыми Оператор намерен вступить в договорные отношения;
пользователи сайта – физические лица, использующие сайт Оператора и имеющие доступ к его разделам.
        1.6. Основные права и обязанности Оператора.
        1.6.1. Оператор имеет право:
1)    самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2)    в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1)    организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2)    отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3)    сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) необходимую информацию по письменному запросу этого органа.
1.7. Основные права субъекта персональных данных.
Субъект персональных данных имеет право:
1)    получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных. При этом, право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с положениями частью 8 статьи 14 Закона о персональных данных;
2)    требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3)    выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке работ и услуг;
4)    обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
      
2. Цели сбора персональных данных
2.1.    Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2.    Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством, не использует персональные данные во вред субъектам.
2.3.    Обработка Оператором персональных данных осуществляется в следующих целях:
2.3.1. обеспечения соблюдения законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Оператора;
2.3.2. предоставления информации, в том числе отчетности, надзорным и контрольным органам, органам статистики в соответствии с требованиями действующего законодательства;
2.3.3. ведения бухгалтерского учета;
2.3.4. реализации прав и законных интересов Оператора в рамках ведения видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, либо достижения общественно значимых целей;
2.3.5. в отношении работников — исполнения заключенных трудовых договоров, в том числе содействие в обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, ведения воинского учета граждан, пользования различного вида льготами, ведения кадрового делопроизводства, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, расчета и выплаты заработной платы, иных вознаграждений;
2.3.6. в отношении кандидатов для приема на работу к Оператору — принятия решения о возможности замещения вакантных должностей кандидатами, наиболее полно соответствующими требованиям Оператора;
2.3.7. в отношении представителей контрагентов — выполнения норм Гражданского кодекса РФ, регулирующих договорную работу, заключение и исполнение договоров с контрагентами;
2.3.8. в отношении бывших работников Оператора —  выполнения норм действующего законодательства РФ;
2.3.9. в отношении членов семьи работников Оператора — предоставления работникам льгот и гарантий, предусмотренных действующим законодательством;
2.3.10. в отношении посетителей мероприятий Оператора и пользователей  его сайта — предоставления возможности обратиться к Оператору с заявлением или запросом, оставить комментарий на сайте Оператора; осуществления прямых контактов с посетителями с помощью электронных средств связи; приобретения билетов на концертные мероприятия, направления информации (в том числе, в целях продвижения услуг Оператора; улучшения качества оказания услуг, оказываемых Оператором);
2.3.11. в отношении контрагентов, состоящих с Оператором в гражданско-правовых отношениях — подготовки, заключения, исполнения и прекращения договоров с контрагентами;
2.3.12. в отношении посетителей административной части здания Оператора (в том числе представителей контрагентов) — обеспечения возможности однократного пропуска посетителей на территорию Оператора;
  2.3.13. в иных законных целях.

3. Правовые основания обработки  персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
•    Конституция Российской Федерации;
•    Гражданский кодекс Российской Федерации;
•    Трудовой кодекс Российской Федерации;
•    Налоговый кодекс Российской Федерации;
•    Федеральный закон от 06.12.2011 года № 402-ФЗ «О бухгалтерском учете»;
•    Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»;
•    Федеральный закон от 15.12.2001 года № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
•    Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации»;
•    Указ Президента Российской Федерации от 06.03.1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»;
•    Постановление Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
•    Постановление Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
•    Перечень типовых управленческих архивных документов, обра-зующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утвержденный Приказом Росархива от 20.12.2019 N 236)
•    иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2.    Правовым основанием обработки персональных данных также являются:
•    Устав Оператора;
•    договоры, заключаемые между Оператором и субъектами персональных данных;
•    согласие субъектов персональных данных на обработку их персональных данных.

4. Объем обрабатываемых персональных данных,  
категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки, предусмотренным разделом 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:
4.2.1. Кандидаты для приема на работу к Оператору (фамилия, имя, от-чество, пол, гражданство, дата и место рождения, контактные данные, сведе-ния об образовании, опыте работы, квалификации, иные персональные дан-ные, сообщаемые кандидатами в резюме);
 4.2.2. работники и бывшие работники Оператора (фамилия, имя, отчество; пол; гражданство; дата и место рождения; фотография; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактный телефон; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства);
4.2.3. члены семьи работников Оператора (фамилия, имя, отчество; степень родства; дата рождения; иные персональные данные, предоставляемые в соответствии с требованиями законодательства);
4.2.4. посетители мероприятий Оператора (физические лица) (фамилия, имя, отчество; паспортные данные; контактные данные);
         4.2.5. контрагенты, состоящие с Оператором в гражданско-правовых отношениях (физические лица) (фамилия, имя, отчество, дата рождения, место рождения, адрес регистрации по месту жительства, фотография (при необходимости), индивидуальный номер налогоплательщика, паспортные данные; страховой номер индивидуального лицевого счета (СНИЛС), данные расчетного счета, контактные данные, адрес электронной почты);
4.2.6. пользователи сайта Оператора (физические лица) (фамилия, имя, отчество, контактные данные (адрес электронной почты, контактный телефон, ip-адрес), возрастная категория, регион (город) пользователя, пол пользователя)
4.2.7.    представители контрагентов (юридических лиц) Оператора  (физические лица) (фамилия, имя, отчество; паспортные данные; контактные данные; замещаемая должность);
4.2.8. посетители административной части здания Оператора (физические лица) (фамилия, имя, отчество; паспортные данные или данные, содержащиеся в служебных удостоверениях).
4.3.    Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется только при наличии согласия в письменной форме в соответствии с законодательством Российской Федерации.
4.4.    Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.5. Обработка сведений о состоянии здоровья субъекта персональных данных осуществляется в соответствии с действующим законодательством.

5. Порядок и условия обработки персональных данных
        5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъек-тов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством РФ. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в установленном законом порядке.
5.3.    Обработка персональных данных осуществляется следующими способами:
•    неавтоматизированная обработка персональных данных;
•    автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
•    смешанная обработка персональных данных.
5.4. К обработке персональных данных допускаются работники Опера-тора, в должностные обязанности которых входит обработка персональных данных. Они получают доступ к персональным данным в порядке, предусмотренном Положением о персональных данных работников Оператора. За нарушение правил обработки и хранения персональных данных, ставших им известным в процессе исполнения своих должностных обязанностей, работники привлекаются к ответственности установленной действующим законодательством.
Доступ иных лиц к персональным данным, обрабатываемых Операто-ром, может быть предоставлен исключительно в предусмотренных законода-тельством случаях и в установленном законом порядке.
       5.5. Обработка персональных данных осуществляется путем:
-    получения персональных данных в устной и письменной форме как на бумажных носителях, так и в электронном виде непосредственно от субъектов персональных данных;
-    внесения персональных данных в журналы, реестры и информационные системы Оператора;
-    использования иных способов обработки персональных данных.
5.6. Сроком обработки персональных данных считается период от начала обработки до ее прекращения.
Условиями для прекращения обработки персональных данных могут быть:
- достижение целей обработки персональных данных;
- истечение срока действия согласия на обработку  персональных данных;
- отзыв субъектом персональных данных согласия на обработку его  персональных данных;
- выявление неправомерной обработки  персональных данных;
- прекращение деятельности Оператора.
5.7. Не допускается передача третьим лицам и распространение персональных данных без согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством.
5.8.    Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.9.    Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. А именно:
1) назначение ответственного за организацию обработки персональных данных;
2) издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным законом;
6) ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5.10. В случаях, предусмотренных Законом о персональных данных, Оператор обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных случаях Оператор предлагает субъекту оформить персональное и конкретное письменное согласие на обработку его персональных данных. Субъект персональных данных может в любой момент отозвать в письменной форме свое согласие на обработку данных.
5.11. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также в указанный орган.
5.12. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством, договором, стороной которого является субъект персональных данных.
          5.12.1. Персональные данные на бумажных носителях хранятся у Оператора в течение сроков хранения документов, предусмотренных законодательством РФ. Собранные с сайта Оператора персональные данные субъекта персональных данных, с использованием метрических интернет сервисов, хранятся на арендованном сервере  хостинга.
5.12.2. Срок хранения персональных данных, обрабатываемых в информационных системах, соответствует сроку хранения персональных данных на бумажных носителях.
5.13. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6. Актуализация, исправление,
удаление и уничтожение персональных данных
6.1. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.4. В случае отзыва субъектом персональных данных согласия на обра-ботку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
6.5. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.
6.6. После истечения срока нормативного хранения документов, которые содержат персональные данные субъекта персональных данных, они подлежат уничтожению. Для этого Оператор создает комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы уничтожаются. Персональные данные субъектов персональных данных в электронном виде стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

7. Защита персональных данных
7.1. Безопасность персональных данных при обработке в информацион-ной системе обеспечивает Оператор этой системы, который обрабатывает персональные данные.
7.2. Безопасность персональных данных при их обработке в информаци-онной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом, которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Выбор средств защиты информации для системы защиты персональных данных осуществляется Оператором в соответствии с нормативными право-выми актами, принятыми во исполнение части 4 статьи 19 Закона о персо-нальных данных.
7.3. Система защиты персональных данных включает в себя организаци-онные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных, уровня защищенности персональных данных и информационных технологий, используемых в информационных системах.
7.3.1. В целях защиты персональных данных, которые хранятся на бумажных носителях и в информационной системе Оператор:
- осуществляет выдачу ключей от помещений, где хранятся документы или размещаются информационные системы, которые содержат персональные данные, только сотрудникам данного структурного подразделения;
- обеспечивает сохранность носителей информации;
- утверждает перечень должностей работников, допущенных до работы с персональными данными;
- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации;
- хранит документы, содержащие персональные данные в шкафах, запи-рающихся на ключ;
- хранит трудовые книжки работников в сейфе в отделе кадров
- назначает ответственного за обеспечение безопасности персональных данных в информационной системе.

8. Обратная связь
8.1. Все предложения, вопросы и уведомления по данной политике и отзыву разрешения на обработку персональных данных следует направлять на электронный адрес yagf.yaroslavl@yarregion.ru либо по адресу 150000, г. Ярославль, ул. Максимова, д. 13