Политика обработки персональных данных

Политика в отношении обработки и защиты персональных данных в ГБУК г. Москвы «ММТ «Геликон-опера»

1.    Общие положения

1.1.       Политика в отношении обработки и защиты персональных данных в ГБУК г. Москвы «ММТ «Геликон-опера» (далее – Политика) разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»  (далее – Федерального закона №152-ФЗ) и других нормативно-правовых актов Российской Федерации.

1.2.       Настоящей Политикой определяется порядок обработки персональных данных субъектов персональных данных ГБУК г. Москвы «ММТ «Геликон-опера» (далее – Учреждение, оператор), как с использованием средств автоматизации, так и без использования таковых.

1.3.       Целью настоящей Политики является обеспечение защиты прав и свобод физических лиц и работников Учреждения при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3.1. Политика распространяется также на персональные данные физических лиц, полученные и обрабатываемые в процессе реализации билетов на мероприятия Учреждения через сайт www.helikon.ru (далее – «Сайт»), через колл-центр Учреждения по телефону 8 (495)-250-22-22 (далее – «колл-центр») и через кассы Учреждения, при продвижении товаров, работ, услуг Учреждения в сети «Интернет», а также любых иных лиц, содержащиеся в документах, полученных Учреждением из других организаций, в обращениях граждан и иных источниках персональных данных.

1.4.       Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, а также затруднения реализации прав и свобод граждан Российской Федерации.

1.5.       Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Учреждения.

1.6.       Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении сроков хранения, если иное не определено законом.

1.7.       Должностные лица учреждения, в обязанности которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления со своими персональными данными в установленном порядке, если иное не предусмотрено законом.

1.8.       Настоящая Политика и изменения к ней являются обязательным для исполнения всеми работниками Учреждения, имеющими доступ к персональным данным.

1.9.       Все работники Учреждения должны быть ознакомлены под роспись с настоящей Политикой.

1.10.    Политика подлежит опубликованию (размещению) в открытом доступе на Сайте в сети «Интернет».

 

2.             Основные понятия, применяемые в настоящей Политике:

2.1             Персональные данные – любая информация, относящаяся к определенному (или определяемому на основании такой информации) физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем персональных данных, обрабатываемых в Учреждении, настоящей Политикой и локальными правовыми актами Учреждения.

2.2             Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3             Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.4             Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.5             Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.6              Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.7             Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.8             Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9             Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.10          Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.11          Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и которая представляет собой коммерческую, служебную или личную тайны, охраняющиеся владельцем.

2.12          Конфиденциальность персональных данных – обязательное для соблюдения любым работником Учреждения (или иным получившим доступ к персональным данным лицом) требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

2.13          Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

2.14          Оператор – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

2.15          Работники – лица, имеющие трудовые отношения с Учреждением, либо кандидаты на вакантную должность, вступившие в отношения по поводу приема на работу.

2.16          К субъектам персональных данных (далее – Субъект) относятся:

физические лица, персональные данные которых обрабатываются Учреждением в процессе реализации билетов на мероприятия,  проводимые в Учреждении, через Сайт, через колл-центр Учреждения и через кассы Учреждения, а также при продвижении товаров, работ, услуг Учреждения в сети «Интернет»; работники Учреждения, включая совместителей и лиц, выполняющие работы по договорам гражданско-правового характера, персональные данные которых переданы Учреждению (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для обработки, а также иные лица, предоставляющие персональные данные Учреждению.

 

3. Принципы обработки персональных данных

3.1     Обработка персональных данных в Учреждении осуществляется на основе следующих принципов:

3.1.1. Законности целей и способов обработки персональных данных и добросовестности.

3.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения.

3.1.3. Соответствия объема, характера и способов обработки персональных данных целям обработки.

3.1.4. Достоверности и достаточности персональных данных для целей обработки.

3.1.5. Недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

3.1.6. Недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3.2. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, производится не дольше, чем этого требуют цели их обработки.

3.3. Уничтожение персональных данных производится при достижении целей обработки или в случае утраты необходимости в их обработке.

3.4. Собственником персональных данных является субъект персональных данных, и он самостоятельно решает вопрос передачи своих персональных данных в Учреждение.

3.5. В целях информационного обеспечения функционирования в Учреждении могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться фамилия, имя, отчество, адрес, номер телефона, сведения о должности и иные персональные данные, предоставленные субъектом.

 

4. Понятие и состав персональных данных

4.1         Под  персональными данными понимается  любая информация, относящаяся прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных), необходимая Учреждению в том числе в связи с трудовыми отношениями, касающаяся конкретного субъекта персональных данных (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия) и позволяющая идентифицировать его личность, а также информация, необходимая в целях осуществления своей уставной и платной деятельности; с целью реализации билетов Учреждение осуществляет обработку следующих персональных данных: фамилия, имя, отчество; номер телефона; адрес электронной почты; данные об оказанных и оказываемых субъекту персональных данных услугах, в том числе история заказов субъекта; история обращений субъекта персональных данных, в том числе присылаемые субъектом при обращениях к Учреждению документы.

4.2          При использовании сервисов Сайта Учреждение обрабатывает также иные обезличенные данные, которые автоматически передаются в процессе использования Сайта посредством установленного на устройстве физического лица (субъекта персональных данных) программного обеспечения: сведения об используемом браузере (или иной программе, с помощью которой осуществляется доступ к сайту);  IP-адрес; данные файлов cookie, веб-маяки и иные схожие технологии.

Браузеры, в большинстве случаев, по умолчанию настроены так, что позволяют принимать файлы cookie. При первичном посещении Сайта запрашивается согласие субъекта персональных данных на использование файлов cookie.

Субъект персональных данных в любой момент может изменить свое решение об использование файлов cookie, удалив файлы cookie, хранящиеся в его браузере (осуществляется через настройки браузера). Также Субъект персональных данных может изменить настройки браузера, чтобы принимать или отклонять по умолчанию все файлы cookie или файлы cookie с определенных сайтов, включая Сайт Учреждения.

Субъект персональных данных всегда может отказаться от получения информационных сообщений, направив оператору письмо на адрес электронной почты    KDAJ-tickets.helikon@culture.mos.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

Веб-маяки могут использоваться для различных целей, включая оценку эффективности работы Сайта, мониторинг количества посетителей и их поведения, определение доли реально прочитанных электронных писем от общего числа всех отправленных писем, контроль эффективности рекламы и подсчёт количества фактически просмотренных страниц, статей и ссылок.

Аналогичные технологии для хранения информации – технологии, позволяющие записывать определенную информацию в кэш-память веб-браузера или в память устройства с помощью локальных объектов общего пользования или локально сохраняемых данных, таких как cookie-файлы формата Flash и HTML 5 и прочие элементы прикладного программного обеспечения для интернета. Эти технологии могут применяться во всех используемых веб-браузерах. В некоторых случаях управление использованием локально сохраняемых данных с помощью веб-браузера в полном объёме невозможно и требует специальных инструментов. Подобные технологии хранения информации могут использоваться Оператором для защиты данных субъекта персональных данных учетной записи или для выявления нестандартных действий при использовании браузера в целях предотвращения несанкционированного доступа к учетной записи Субъекта персональных данных или оценки эффективности функционирования Сайта, сервисов или инструментов.

Учреждение гарантирует, что внешние по отношению к оператору организации не имеют доступа к таким данным, которые могут использоваться Учреждением, кроме случаев, явно оговоренных действующим законодательством Российской Федерации, настоящей Политикой, другими локальными и нормативно-правовыми актами. При получении персональных данных, не указанных в настоящем разделе, такие данные подлежат немедленному уничтожению.

4.3         Исчерпывающий состав персональных данных субъектов регулярно актуализируется и приводится в отдельном документе Учреждения, который утверждается приказом Учреждения.

4.4         Любые документы, содержащие персональные данные, являются конфиденциальными.

 

5. Получение, обработка и хранение персональных данных

5.1         Учреждение получает первоначальные сведения о персональных данных субъекта из его конфиденциальных документов (непосредственно от субъекта персональных данных) либо от лица, которое заранее получило согласие от субъекта персональных данных письменное согласие на распространение персональных данных Учреждению и обработку таких персональных данных Учреждением.

5.2         Субъект персональных данных либо лицо, которое заранее получило согласие от субъекта персональных данных письменное согласие на распространение персональных данных Учреждению и обработку таких персональных Учреждением, обязаны представлять в Учреждение достоверные сведения.

5.3         Работники, ответственные за документационное обеспечение кадровой деятельности Учреждения, принимают от субъекта материальные носители персональных данных (документы, копии документов) и сверяют копии документов с подлинниками. Вносят необходимые данные в информационную систему, на материальные носители, приобщают к личному делу работника.

5.4         Учреждение имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

5.5         Если персональные данные субъекта персональных данных возможно получить исключительно у третьей стороны, то субъект персональных данных уведомляется об этом заранее, и от него должно быть получено письменное согласие. В этом случае уполномоченные работники Учреждения сообщают субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных представить письменное согласие на их получение. В случае если субъект персональных данных уже дал письменное согласие на обработку своих персональных данных, дополнительное уведомление не требуется.

5.6         Обработка персональных данных субъекта персональных данных осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по работе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, ведения уставной и платной деятельности Учреждения.

5.7         Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона №152-ФЗ.

5.8         Обработка персональных данных близких родственников работника может производиться только в объеме, предусмотренном унифицированной формой № Т-2, либо в случаях, установленных законодательством Российской федерации (например, для оформления социальных выплат).

В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

5.9         Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Письменное согласие субъекта персональных данных на обработку его персональных данных включает в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование и адрес оператора персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта;

- перечень действий с персональными данными, на совершение которых дается согласие;

- общее описание используемых Учреждением способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

    5.10. Письменные согласия на обработку оператором персональных данных работников Учреждения хранятся в личных делах.

    5.11. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в соответствии с положением статьи 6 Федерального закона №152-ФЗ.

5.12. Обработка персональных данных работников работодателем возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством Российской Федерации.

Не требуется согласия субъекта на обработку его персональных данных в следующих случаях:

    обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

             обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных;

             обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия при данных обстоятельствах невозможно;

             осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами;

             осуществляется обработка персональных данных по поручению оператора.

5.13. В случае смерти субъекта персональных данных согласие на обработку его персональных данных, при необходимости, дает в письменной форме один из его наследников, если такое согласие не было дано субъектом персональных данных при его жизни.

5.14. Учреждение не имеет права осуществлять обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состоянии здоровья, интимной, частной жизни, а также членства в общественных объединениях или профсоюзной деятельности, за исключением случаев, когда:

- субъект персональных данных дал согласие в письменной форме на обработку своих соответствующих персональных данных;

- персональные данные являются общедоступными;

- персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно.

5.15. Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась такая обработка.

5.16. Основными источниками, но не единственными, содержащими персональные данные работников Учреждения являются их личные дела. Личные дела хранятся уполномоченным лицом на материальных (бумажных) носителях. Личное дело пополняется на протяжении всей трудовой деятельности работника в Учреждении.

Дополнительным источником персональных данных являются электронные документы, хранимые и обрабатываемые в базах данных информационных систем учреждения: «ПАРУС-Бюджет 8 Кадры и штатное расписание», Система «Контур-Экстерн», «БАРС.Мониторинг Культуры», «ИСУ ИНКО центр».

5.17. Основными источниками, но не единственными, содержащими персональные данные иных субъектов персональных данных, чьи персональные данные были получены Учреждением в рамках осуществления уставной деятельности, являются информационные системы персональных данных: «Универсальная билетная система» (ООО «Хайвэй Медиа» (ОГРН 1117746280123)), «amoCRM» (АО «АМОЦРМ» (ОГРН 5157746087681)).

5.18. Перечень уполномоченных сотрудников Учреждения, допущенных к обработке персональных данных, определяется приказом Учреждения.

5.19. Уполномоченные работники Учреждения обрабатывают персональные данные субъектов персональных данных, строго соблюдая весь комплекс мероприятий по обеспечению безопасности, установленный в Учреждении.

5.20. Руководители структурных подразделений несут ответственность за контроль соблюдения требований по обработке персональных данных во вверенных подразделениях.

5.21. Проведение работ по обеспечению Учреждения исправными техническими средствами обработки персональных данных (АРМ, серверами и т.д.) и поддержанию их в готовности к функционированию в составе систем обработки персональных данных производится системным администратором Учреждения.

5.22. Помещения, в которых обрабатываются и хранятся персональные данные субъектов персональных данных, оборудуются надежными замками.

Бесконтрольное пребывание в этих помещениях посторонних лиц исключается.

В рабочее время помещения, в которых обрабатываются и хранятся персональные данные субъектов персональных данных, при отсутствии в них работников должны быть заперты.

5.23. Для хранения материальных носителей персональных данных используются сейфы или специально оборудованные шкафы, которые запираются на ключ.

5.24. Уборка помещений, в которых хранятся персональные данные, производится только в присутствии уполномоченных работников.

5.25. Получение, использование и раскрытие персональных данных, правила и порядок их обработки при оказании услуг Учреждением, при реализации билетов, продвижении товаров, работ, услуг Учреждения в сети «Интернет», через колл-центр и через кассы Учреждения.

5.25.1. Учреждение осуществляет обработку персональных данных Субъектов персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:

- исполнения договора, стороной которого является Субъект персональных данных или третье лицо, в пользу которого заключен договор, т.е. для цели обработки заказов, запросов или других действий Субъекта персональных данных, а также третьего лица, в пользу которого заключен договор, связанных с приобретением билетов на мероприятия, проводимых в Учреждении в т.ч. для уведомления об отмене, замене или переносе мероприятий, порядке возврата денег/денежных средств за билеты на мероприятия, подарочные сертификаты, направления иных информационных сообщений, касающихся мероприятий, на которые Субъект персональных данных приобрел (забронировал) билеты;

- в случае выраженного согласия Субъекта персональных данных, в целях продвижения товаров, работ и услуг Оператора на рынке, оповещения о проводимых акциях, мероприятиях, скидках, проведения маркетинговых кампаний Оператора;

- исполнения законодательства Российской Федерации, включая, но не ограничиваясь, Федерального закона от 22.05.2003 № 54-ФЗ  «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа» в случае предоставления Субъектом (клиентом) до момента расчета номера телефона либо адреса электронной почты с целью направления кассового чека или бланка строгой отчетности в электронной форме Субъекту (клиенту) на предоставленные абонентский номер либо адрес электронной почты (при наличии технической возможности для передачи информации Субъекту (клиенту) в электронной форме на адрес электронной почты);

- в иных целях в случае, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных;

- данные, указанные в п.4.2. Политики, обрабатываются в целях осуществления аналитики Сайта, отслеживания и понимания принципов использования Сайта посетителями, совершенствования функционирования Сайта, решения технических проблем Сайта, разработки новых продуктов, расширения услуг, выявления популярности мероприятий и определения эффективности рекламных кампаний; обеспечения безопасности и предотвращения мошенничества, предоставления эффективной клиентской поддержки.

Оператор начинает обработку персональных данных Субъекта с момента получения персональных данных на основании пп. 5 п. 1 ст. 6 Федерального закона №152-ФЗ, а в части, не относящейся к исполнению указанного договора, с момента получения согласия Субъекта персональных данных на их обработку.

5.25.2. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения Субъектом персональных данных конклюдентных действий. В случае отсутствия согласия Субъекта персональных данных на обработку его персональных данных, такая обработка осуществляется исключительно в части, необходимой для исполнения договора, стороной которого является Субъект персональных данных (т.е. для цели приобретения билета на спектакли, концерты, музыкальные, художественные, хореографические произведения, культурно-зрелищное мероприятие и реализации права на посещения таких  мероприятия).

Оставаясь на нашем Сайте и продолжая пользоваться им, продолжая звонок и разговор с оператором колл-центра, продолжая разговор с кассиром билетной кассы Учреждения, субъект персональных данных, тем самым, подтверждает, что осознанно и добровольно выражаете согласие на обработку его персональных данных в соответствии с настоящей Политикой.

5.25.3. Оператор получает персональные данные Субъектов персональных данных:

- лично, от Субъекта персональных данных при внесении сведений в учетные формы в письменном виде на бумажных носителях в кассах Учреждения;

- лично, от Субъекта персональных данных при внесении сведений в учетные формы в электронном виде на сайте по адресу www.helikon.ru;

- Субъектом персональных данных при создании личного кабинета на сайте Учреждения по адресу www.helikon.ru;

- лично, от Субъекта персональных данных при обращении в колл-центр и сообщения их в устной форме по телефону в процессе оформления заказа по приобретению билетов;

- через Сайт, согласно п.4.2  Политики;

- иными способами, не противоречащими законодательству Российской Федерации и требованиям международного законодательства о защите персональных данных.

5.25.4. Согласие на обработку персональных данных считается предоставленным посредством совершения Субъектом персональных данных любого действия или совокупности следующих действий:

- заполнения документа на бумажном носителе в кассе Оператора;

- оформления заказа на Сайте Учреждения;

- проставления на Сайте в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед получением согласия для ознакомления тексте;

- создании личного кабинета на Сайте;

- при посещении Сайта посредством выражения согласия на всплывающем окне с предупреждением о сборе данных файлов cookie, веб-маяков и иных схожих технологий;

- сообщения персональных данных в устной форме, при обращении в колл-центр по телефону в процессе оформлении заказа по приобретению билетов.

5.25.5. Согласие считается полученным в установленном порядке и действует до достижения цели обработки персональных данных Субъекта либо до момента направления Субъектом персональных данных соответствующего заявления о прекращении обработки персональных данных по месту нахождения Оператора в соответствии с п. 5.25.7. настоящей Политики.

5.25.6. Согласие на получение иной информации по сетям электросвязи.

5.25.6.1 Оставляя заявку на получение рассылки/подписываясь на получение иной информации:

- в кассе Оператора, путем заполнения соответствующего документа на бумажном носителе;

- на Сайте, путем проставления галочки Субъектом персональных данных на соответствующей веб-странице;

- по телефону в устной форме при обращении в колл-центр Оператора

Субъект персональных данных выражает свое согласие на получение от Оператора и привлеченных Оператором третьих лиц, по сетям электросвязи (по предоставленным номеру мобильного телефона и адресу электронной почты) информационных сообщений, а в том числе иной информации, указанных в абзаце третьем пункта 5.25.1. настоящей Политики.

5.25.6.2. Давая согласие, указанное в п. 5.25.6.1 настоящей Политики,  Субъект персональных данных  подтверждает, что действует свободно, своей волей и в своем интересе, а также то, что указанные персональные данные являются достоверными.

5.25.7. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства Российской Федерации.

Для отзыва согласия на обработку персональных данных Субъекту персональных данных необходимо направить письменное уведомление на почтовый адрес: 125009, г. Москва, ул. Большая Никитская, 19/16 стр. 1.

В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных, Оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора)  в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Федерального закона №152-ФЗ или другими федеральными законами.

5.25.8 Для достижения целей настоящей Политики к обработке персональных данных допущены только те сотрудники Оператора, на которых возложена такая обязанность в соответствии с их служебными (трудовыми) обязанностями. Оператор требует от своих сотрудников соблюдения конфиденциальности и обеспечения безопасности персональных данных, при их обработке.

5.25.8.1 В соответствии с настоящей Политикой Оператор может осуществлять обработку персональных данных самостоятельно, а также с привлечением третьих лиц, которые привлекаются Оператором и осуществляют обработку для выполнения указанных в настоящей Политике целей. Субъект соглашается с тем, что Оператор вправе передавать персональные данные третьим лицам, в частности, ООО «Хайвэй Медиа» (ОГРН 1117746280123), АО «АМОЦРМ» (ОГРН 5157746087681), ООО «Юнисендер СМАРТ» (ОГРН 1227700213180), ООО «В контакте» (ОГРН 1079847035179), ПАО Сбербанк (ОГРН 1027700132195) ООО «ЯНДЕКС» (ОГРН 1027700229193), ООО  «Гугл» (1057749528100), хостинг-провайдерам, телекоммуникационным компаниям и прочим третьим лицам (при передаче персональных данных в случаях, предусмотренных законом) исключительно для целей, указанных в п. 5.25.1. настоящей Политики.

5.25.8.2. В случае поручения обработки персональных данных третьему лицу, объем передаваемых третьему лицу для обработки персональных данных и количество используемых этим лицом способов обработки должны быть минимально необходимым и для выполнения им своих обязанностей перед Оператором. В отношении обработки персональных данных третьим лицом устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.

5.25.8.3. Оператор использует автоматизированную, с применением средств вычислительной техники, так и неавтоматизированную, с применением бумажного документооборота, обработку персональных данных.

Принятие решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных Оператором не производится.

Оператор хранит персональную информацию Субъектов персональных данных в соответствии с внутренним регламентом.

5.25.8.4. В отношении персональных данных Субъекта персональных данных сохраняется конфиденциальность, кроме случаев добровольного предоставления Субъектом информации о себе для общего доступа неограниченному кругу лиц (персональные данные, сделанные общедоступными субъектом персональных данных). В данном случае Субъект персональных данных соглашается с тем, что определенная часть его персональных данных становится общедоступной и не требует получения согласия на обработку таких данных в соответствии с пп. 10 п. 1 ст. 6 Федерального закона №152-ФЗ.

 

6. Права и обязанности сторон в области защиты персональных данных

6.1.        Работник Учреждения обязан:

6.1.1.  передать Учреждению или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством и иными законами Российской Федерации, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.

6.1.2.   своевременно (в срок, не превышающий 3 рабочих дней) сообщать в отдел кадров об изменении своих персональных данных.

6.2.         Каждый субъект персональных данных имеет право:

6.2.1.  на получение сведений об Учреждении, в том числе, о месте его нахождения, о наличии у Учреждения персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц;

6.2.2.  на свободный и бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;

6.2.3.  на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-     подтверждение факта обработки персональных данных оператором, а также указание цели такой обработки;

-     способы обработки персональных данных, применяемые оператором;

-     сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

-     перечень обрабатываемых персональных данных и источник их получения;

-     сроки обработки персональных данных, в том числе сроки их хранения;

-     сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных.

6.2.4.  обжаловать в судебном порядке любые неправомерные действия или бездействие должностных и уполномоченных лиц Учреждения при обработке и защите его персональных данных;

6.2.5.   требовать от Учреждения извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;

6.2.6.  требовать от Учреждения исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона №152-ФЗ;

6.2.7.  при отказе оператора исключить, заблокировать или исправить персональные данные субъекта, заявить в письменной форме оператору (Учреждению) о своем несогласии (с соответствующим обоснованием такого несогласия), при отклонении оператором указанного обращения (несогласия) – обжаловать действия оператора в порядке, предусмотренном законодательством Российской Федерации;

6.3.         Доступ субъекта персональных данных к своим персональным данным предоставляется при личном обращении или обращении его законного представителя с письменным запросом.

6.4.         Сведения о персональных данных должны быть предоставлены субъекту персональных данных в доступной форме; при этом в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

6.5.         Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, не может приниматься исключительно на основании автоматизированной обработки его персональных данных, кроме случаев согласия субъекта, выраженного в письменной форме или в случаях, предусмотренных федеральными законами.

6.6.         Учреждение обязано рассмотреть возражение субъекта персональных данных в течение семи рабочих дней со дня его получения и уведомить заявителя о результатах рассмотрения такого возражения.

6.7.         В случаях установленной федеральным законом (включая налоговое и трудовое право) обязанности предоставления оператором персональных данных субъекта персональных данных третьим лицам, уполномоченные работники Учреждения обязаны разъяснить субъекту персональных данных юридические последствия отказа в предоставлении своих персональных данных.

6.8.         Если персональные данные были предоставлены Учреждению на основании федерального закона или если персональные данные являются общедоступными, уведомление не производится.

6.9.         Учреждение обязано безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные при предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить соответствующего субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы .

6.10.    Учреждение обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Центральному Федеральному округу) по его запросу информацию, необходимую для осуществления деятельности указанного органа в установленные нормативно-правовыми актами Российской Федерации сроки.

6.11.    При выявлении фактов недостоверности персональных данных или неправомерных действий с ними Учреждение осуществляет блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента получения такой информации на весь период проверки. При подтверждении факта недостоверности персональных данных уполномоченные сотрудники (на основании соответствующих документов) уточняют персональные данные и снимают их блокирование.

6.12.    В случае выявления неправомерных действий с персональными данными учреждение в срок, не превышающий трех рабочих дней с момента выявления, устраняет допущенные нарушения. При невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с момента выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные лица уведомляют субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также указанный орган.

6.13.     При достижении цели обработки персональных данных Учреждение незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней со времени достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами и уведомляет об этом субъекта персональных данных.

6.14.    Для отзыва согласия на обработку персональных данных Субъекту персональных данных необходимо уведомить Учреждение в письменной форме на почтовый адрес: 125009, г. Москва, ул. Большая Никитская, 19/16 стр. 1. Работники письменно уведомляют Учреждение через отдел кадров: 125009, г. Москва, ул. Большая Никитская, 19/16 стр. 1, кабинет 321.

6.15. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней со времени поступления отзыва, если иное не предусмотрено соглашением сторон и (или) Федеральным законом. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

6.16. До начала обработки персональных данных Учреждение обязано уведомить уполномоченный орган по защите прав субъектов персональных данных (Управление Роскомнадзора по Центральному Федеральному округу) о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:

- относящихся к субъектам персональных данных, которых связывают с учреждением трудовые отношения;

- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

-   относящихся к членам (участникам) общественного объединения или религиозной организации (и обрабатываемых соответствующим общественным объединением или религиозной организацией), действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия субъектов персональных данных в письменной форме;

-   являющихся общедоступными персональными данными;

-   включающих в себя только фамилии, имена и отчества субъектов персональных данных;

-   необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Учреждение, или в аналогичных целях;

-   включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

-   обрабатываемых без использования средств автоматизации в соответствии с федеральными законами и иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных.

6.16. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

-   адрес Учреждения;

-   цели обработки персональных данных;

-   категории субъектов персональных данных, персональные данные которых обрабатываются;

-   правовое основание обработки персональных данных;

- перечень действий с персональными данными, общее описание используемых Учреждением способов обработки персональных данных;

- описание мер, которые Учреждение обязуется осуществлять при обработке персональных данных по обеспечению безопасности персональных данных при их обработке;

- дата начала обработки персональных данных;

- срок и условия прекращения обработки персональных данных.

 

7. Доступ к персональным данным субъекта персональных данных, их распространение и передача

7.1.         Доступ к персональным данным субъекта персональных данных, их распространение и передача возможны только с отдельного письменного согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

7.2.         В согласии субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия).

Не допускается указание положений об автоматической пролонгации срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

7.3.         Внутренний доступ (доступ внутри Учреждения) к персональным данным субъектов персональных данных могут иметь работники Учреждения, которым эти данные необходимы для выполнения должностных обязанностей. Список работников и распределение доступа к персональным данным устанавливается приказом по Учреждению.

7.4.         После прекращения юридических отношений с субъектом персональных данных (увольнения работника и т.п.) документы, содержащие его персональные данные, хранятся в Учреждении в течение сроков, установленных архивным и иным законодательством Российской Федерации.

7.5.         Внешний доступ к персональным данным субъектов персональных данных имеют массовые потребители персональных данных и контрольно-надзорные органы.

7.6.         К числу массовых внешних потребителей персональных данных, обрабатываемых Учреждением, относятся следующие государственные и негосударственные структуры:

7.6.1.  налоговые органы;

7.6.2.  правоохранительные органы;

7.6.3.  органы лицензирования и сертификации;

7.6.4.  суды Российской Федерации;

7.6.5.  органы статистики;

7.6.6.  военные комиссариаты;

7.6.7.  органы социального и пенсионного страхования;

7.6.8.  Департамент культуры города Москвы.

7.7. Контрольно-надзорные органы имеют доступ к информации исключительно в сфере своей компетенции.

7.8. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц и иных случаев, установленных законодательством.

7.9. Учреждение обязано сообщать персональные данные субъекта персональных данных по надлежащим оформленным запросам суда, прокуратуры, иных правоохранительных органов.

7.10. В другие организации сведения о работающем или уже уволенном сотруднике работнике могут быть предоставлены только на основании письменного запроса на фирменном бланке, с приложением копии заявления работника.

7.11. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.

7.12. При передаче персональных данных оператор должен соблюдать следующие требования:

7.12.1. не сообщать персональные данные субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами;

7.12.2. не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

7.12.3. предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, за исключением случаев, когда обмен персональными данными осуществляется в порядке, установленном федеральными законами;

7.12.4. не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;

7.12.5. передавать персональные данные работника Учреждения представителям работника в порядке, установленном Трудовым кодексом Российской Федерации и Федерального закона №152-ФЗ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций;

7.12.6. разрешать доступ к персональным данным исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций);

7.12.7. уполномоченные лица должны подписать обязательство о неразглашении персональных данных.

7.13. Ответы на правомерные письменные запросы других учреждений и организаций даются с разрешения генерального директора-художественного руководителя или заместителя генерального директора-художественного руководителя Учреждения, наделенного правом первой подписи, в письменной форме: персональные данные сообщаются строго в запрошенном объеме.

7.14. Не допускается передача персональных данных по открытым каналам связи, в том числе по телефону.

7.15. Сведения, передаваемые в письменной форме, должны иметь пометку о конфиденциальности. В сопроводительном письме к таким документам указывается, что в прилагаемых документах содержатся персональные данные субъектов персональных данных.

 

8. Защита персональных данных

8.1.        Защита персональных данных субъекта персональных данных от утраты или неправомерного их использования обеспечивается Учреждением в порядке, установленном федеральным законодательством Российской Федерации и локальными нормативными актами Учреждения.

Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и основной деятельности Учреждения.

8.2.        При обработке персональных данных, Учреждение принимает необходимые организационные и технические меры, в том числе используя шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требованиями к материальным носителям персональных данных и технологиям хранения таких данных вне своих информационных систем персональных данных, установленными Правительством Российской Федерации.

8.3.        Для защиты персональных данных в Учреждении применяются следующие принципы и правила:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передача их лицам, не имеющим права доступа к такой информации;

- своевременное обнаружение фактов несанкционированного доступа к персональным данным и принятием необходимых мер;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.3.1    В состав мер по обеспечению безопасности персональных данных, реализуемых Оператором в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные; избирательное и обоснованное распределение документов и информации между работников;

- рациональное размещение рабочих мест работников, исключающее бесконтрольное использование защищаемой информации;

- знание работниками требований нормативно-методических документов по защите персональных данных;

- распределение персональной ответственности между работниками, участвующими в обработке персональных данных, за выполнение требований по обеспечению безопасности персональных данных.

- оборудование помещений и установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности персональных данных при  работе с конфиденциальными документами и базами данных;

- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника;

- установление порядка уничтожения информации;

- своевременное выявление нарушений требований разрешительной системы доступа работниками Учреждения;

- воспитательная и разъяснительная работа с работниками Учреждения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

- регулярное обучение работников по вопросам, связанным с обеспечением безопасности персональных данных.

- ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся персональные данные.

- создание труднопреодолимых препятствий для любых лиц, пытающихся совершить несанкционированный доступ и овладение информацией;

- резервирование защищаемых данных (создание резервных копий);

- идентификация и аутентификация субъектов доступа и объектов доступа;

 - управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

- регистрация событий безопасности;

- антивирусная защита;

- обнаружение (предотвращение) вторжений;

- обеспечение целостности информационной системы и персональных данных;

- защита технических средств;

- защита информационной системы, ее средств, систем связи и передачи данных;

- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;

- управление конфигурацией информационной системы и системы защиты персональных данных.

8.4. В целях обеспечения соответствия уровня защиты персональных данных требованиям Федерального закона №152-ФЗ и Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Оператор не раскрывает информацию о конкретных применяемых средствах и мерах обеспечения информационной безопасности персональных данных.

8.5. Оператор обязуется не разглашать полученную от Субъекта персональных данных информацию. Не считается нарушением предоставление Оператором информации агентам и третьим лицам, действующим на основании договора с Оператором, для исполнения обязательств перед Субъектом персональных данных, а также иных случаях, предусмотренных настоящей Политикой. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными и применимыми требованиями закона.

 

9. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

9.1.         Персональная ответственность работников Учреждения является одним из главных требований к функционированию системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.

9.2.         Юридические и физические лица, в соответствии со своими полномочиями владеющие персональными данными субъектов персональных данных, получающие и использующие их, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

9.3.         Руководитель, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

9.4.         Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

9.5.         Каждый работник Учреждения, получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителей и конфиденциальность полученной информации.

9.6.         Должностные лица Учреждения, в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных, обратившемуся в установленном порядке, возможность ознакомления с документами и материалами, если иное не предусмотрено законом.

9.7.         Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных либо несвоевременное их предоставление в случаях, предусмотренных законом, также как и предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц Учреждения административного взыскания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.

9.8.        Любые лица, включая работников Учреждения, не обладающие правом доступа к персональным данным и  незаконными методами, получившие информацию, содержащую персональные данные, в соответствии с Гражданским кодексом Российской Федерации обязаны возместить причиненные субъекту персональных данных убытки.

9.9.        Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконный сбор или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения, влечет наложение наказания в порядке, предусмотренном Уголовным кодексом Российской Федерации.

9.10.    Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

 

10. Заключительные положения

10.1. Настоящая Политика утверждается приказом по Учреждению и вступает в силу со дня его подписания, подлежит ознакомлению всеми Работниками Учреждения, а в отношении иных субъектов персональных данных – с даты опубликования Политики на сайте www.helikon.ru.

10.2. Внесение изменений и(или) дополнения настоящую Политику происходит в одностороннем порядке без предварительного уведомления Работников Учреждения и иных субъектов персональных данных, которые утверждаются приказом по Учреждению, опубликовываются на сайте www.helikon.ru и вступают в силу в отношениях с иных субъектов персональных данных с даты опубликования таких изменений и/или дополнений. Иные субъекты персональных данных несут ответственность за проверку настоящего на предмет наличия изменений в нем.

10.3. Редакция Политики, опубликованная (размещенная) в открытом доступе в сети «Интернет» по адресу www.helikon.ru является и считается действующей в отношениях всех субъектов персональных данных в течение всего периода такого опубликования (размещения).