Политика в отношении защиты персональных данных
Общие положения
Настоящая Политика в отношении защиты персональных данных разработана в соответствии с п. 2 ст. 18.1 Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» и определяет позицию федерального государственного бюджетного учреждения «Российская государственная библиотека» (далее — ФГБУ «РГБ») в отношении обработки и защиты персональных данных, соблюдения прав и свобод субъектов предоставления персональных данных.
Согласия субъектов персональных данных на обработку их персональных данных, а также — иные приложения к настоящей Политике, являются её неотъемлемой частью.
В рамках настоящей Политики используются следующие термины и определения:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных — ФГБУ «РГБ», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Информационно-телекоммуникационная сеть — технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
Сайт в сети «Интернет» — совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационнотелекоммуникационной сети «Интернет» (далее — сеть «Интернет») по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет»;
Сервисы — веб-сайты РГБ в сети «Интернет», расположенные по адресу www.rsl.ru и его поддоменах;
Оператор информационной системы — ФГБУ «РГБ», осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;
НЭБ — федеральная государственная информационная система «Национальная электронная библиотека» (далее — НЭБ), оператором которой в соответствии со ст. 18.1 Федерального закона от 29 декабря 1994 г. № 78-ФЗ является ФГБУ «РГБ».
Правовые основания обработки персональных данных
Политика ФГБУ «РГБ» в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 29 декабря 1994 г. № 78-ФЗ «О библиотечном деле»;
- Федеральным законом от 27 июля 2007 г. № 152-ФЗ «О персональных данных»;
- Федеральным законом от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов»;
- Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства Российской Федерации от 20 февраля 2019 г. «Об утверждении Положения о федеральной государственной информационной системе "Национальная электронная библиотека";
- Постановлением Правительства Российской Федерации от 8 сентября 2011 г. № 760 «Об утверждении устава федерального государственного бюджетного учреждения «Российская государственная библиотека»;
- Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации № 21 от 18.02.2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Уставом федерального государственного бюджетного учреждения «Российская государственная библиотека»;
Категории субъектов, цели обработки и состав обрабатываемых персональных данных
Категориями субъектов персональных данных в отношении которых ФГБУ «РГБ» осуществляет обработку персональных данных являются:
- Работники, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;
- Пользователи библиотечных, информационных, справочнобиблиографических, образовательных и иных, в том числе – электронных услуг ФГБУ «РГБ» (пользователи ФГБУ «РГБ») и пользователи НЭБ;
- Лица, с которыми ФГБУ «РГБ» заключаются, заключены или были заключены ранее договоры гражданско-правового характера.
Обработка персональных данных может осуществляться в следующих целях:
Для работников, бывших работников, кандидатов на замещение вакантных должностей, родственников работников:
- Отбора кандидатов на работу;
- Содействия работникам в выполнении ими своих функциональных обязанностей;
- Организации и содействия в обучении, карьерном продвижении;
- Контроля количества и качества выполняемой работы и обеспечения сохранности имущества, очередности предоставления отпусков;
- Установления и расчета размера заработной платы;
- Страхования работников, оформления страховых свидетельств государственного пенсионного страхования;
- Обеспечения пропускного режима и безопасности работников ФГБУ «РГБ»;
- Учета времени, проводимого работниками в помещении (помещениях) ФГБУ «РГБ»;
- В иных целях, когда предоставление и (или) обработка персональных данных является необходимой в связи с трудовыми отношениями или требованиями законодательства Российской Федерации.
Обработка персональных данных субъектов персональных данных, работающих по договорам гражданско-правового характера, может осуществляться в целях контроля количества и качества выполняемой работы, выполнения договорных обязательств ФГБУ «РГБ» перед субъектом персональных данных (в том числе в части оплаты услуг).
Для пользователей ФГБУ «РГБ» и пользователей НЭБ:
- Организации осуществления библиотечного, информационного, справочно-библиографического и лекционного обслуживания, а также — повышения его оперативности и качества;
- Организации дифференцированного индивидуального обслуживания;
- Предоставления доступа к аппаратным и программным средствам взаимодействия с электронными ресурсами, в том числе — ФГБУ «РГБ», в помещениях ФГБУ «РГБ»;
- Обеспечения доступа к НЭБ;
- Актуализации персональных данных пользователей РГБУ «РГБ» и пользователей НЭБ в случае их изменения;
- Проведения научно-исследовательских работ;
- Проведения работ социологического характера, социологических опросов;
- Оказания образовательных услуг в сфере дополнительного профессионального образования и/или профессиональной переподготовки;
- Обеспечения пропускного режима и безопасности пользователей ФГБУ «РГБ»;
- Иных целях, предусмотренных Уставом ФГБУ «РГБ» и (или) законодательством Российской Федерации.
Для физических лиц, заключающих договоры гражданско-правового характера с ФГБУ «РГБ»:
- Заключения гражданско-правовых договоров, в том числе лицензионных договоров с авторами (правообладателями);
- Исполнения обязательств, следующих из заключённых договоров гражданско-правового характера;
- Иных целях, предусмотренных законодательством Российской Федерации.
ФГБУ «РГБ» для достижения вышеуказанных целей может осуществлять обработку следующих персональных данных (в зависимости от категорий субъектов персональных данных):
В отношении работников, бывших работников, кандидатов на замещение вакантных должностей и родственников работников ФГБУ «РГБ»:
- Фамилия, Имя, Отчество (последнее — при наличии),
- Дата (год, месяц, день) и место рождения;
- Пол;
- Гражданство;
- Реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения);
- Страховой номер индивидуального лицевого счета (СНИЛС), сведения о страховом полисе, сведения о страховых выплатах;
- Идентификационный номер налогоплательщика (ИНН);
- Адрес регистрации места жительства и (или) фактического проживания;
- Сведения о трудовой деятельности, а также – о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
- Сведения об образовании, учёной степени (учёном звании);
- Сведения о семейном положении, о составе семьи, социальное положение;
- Адрес проживания, место работы или учебы членов семьи и родственников;
- Фотографическое изображение;
- Подпись;
- Контактные данные (номер домашнего, мобильного телефона и (или) служебного телефона);
- Сведения о водительском стаже, реквизиты водительского удостоверения, иные сведения о праве управления транспортными средствами;
- Биографические данные работника;
- Реквизиты документов, выдаваемых ФГБУ «РГБ»;
- Содержание трудового договора, трудовых соглашений и приложений к нему;
- Сведения о заработной плате, о выплате налогов, пенсионном обеспечении;
- Сведения о социальных льготах;
- Подлинники приказов по личному составу;
- Основания к приказам по личному составу;
- Личные дела, карточки по форме Т-2 и трудовые книжки работников;
- Сведения о повышении квалификации переподготовке работников, их аттестации;
- Сведения о состоянии здоровья;
- Сведения о временной нетрудоспособности, результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей.
В отношении пользователей ФГБУ «РГБ», в том числе — пользователей электронных услуг и сервисов ФГБУ «РГБ» и (или) пользователей НЭБ:
- Фамилия, Имя, Отчество (последнее — при наличии);
- Дата (год, месяц, день) и место рождения;
- Адрес регистрации места жительства и (или) фактического проживания;
- Фотографическое изображение;
- Сведения об образовании, учёной степени (учёном звании);
- Сведения о специальности;
- Место работы / учёбы;
- Гражданство;
- Реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения);
- Подпись;
- Контактные данные (номер домашнего, мобильного телефона или служебного телефона; адрес электронной почты);
- Иные дополнительные сведения, указываемые субъектом персональных данных по собственному усмотрению.
Для пользователей электронных услуг и сервисов ФГБУ «РГБ» и (или) пользователей НЭБ также дополнительно могут обрабатываться следующие персональные данные, в том числе — в целях повышения качества и персонализации обслуживания:
- Логин и Пароль для доступа к сервисам ФГБУ «РГБ» и (или) НЭБ;
- Cookie-файлы (фрагмент данных, отправленный веб-сервером и хранимый на устройстве пользователя);
- Статистическая информация, собираемая специализированными программными средствами, в том числе — счётчиками;
- Сведения из социальных сетей (при подключении соответствующей социальной сети к сервисам ФГБУ «РГБ» и (или) НЭБ пользователем);
- Сведения о технических и программных средствах, используемых для доступа к сервисам ФГБУ «РГБ»;
- Банковские реквизиты (название банка или филиала, корреспондентский счёт, расчётный счёт, БИК, ИНН, личный счёт банковской карты или сберкнижки);
- Иные сведения, сообщаемые субъектом персональных данных по собственному усмотрению.
При этом статистическая информация и Cookie-файлы обрабатываются с обязательным обезличиванием персональных данных.
В отношении физических лиц, заключающих с ФГБУ «РГБ» договоры гражданско-правового характера, в том числе — лицензионные договоры:
- Фамилия, Имя, Отчество (последнее — при наличии);
- Адрес регистрации места жительства и (или) фактического проживания;
- Сведения об учёной степени (учёном звании) и копия документа о присуждении учёной степени (учёного звания);
- Место работы (учёбы), в том числе — наименование подразделения (при наличии);
- Гражданство;
- Реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения);
- Страховой номер индивидуального лицевого счета (СНИЛС), сведения о страховом полисе, сведения о страховых выплатах;
- Идентификационный номер налогоплательщика (ИНН);
- Копия документа, удостоверяющего личность;
- Копия свидетельства государственного пенсионного страхования;
- Копия свидетельства ИНН;
- Банковские реквизиты (название банка или филиала, корреспондентский счёт, расчётный счёт, БИК, ИНН, личный счёт банковской карты или сберкнижки);
- Подпись;
- Контактные данные (номер домашнего, мобильного телефона и (или) служебного телефона, адрес электронной почты);
- Иные сведения, сообщаемые субъектом персональных данных по собственному усмотрению.
Условия обработки персональных данных
ФГБУ «РГБ» осуществляет обработку персональных данных путём совершения следующих действий:
- сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление, уничтожение.
Порядки обработки персональных данных отдельных категорий субъектов персональных данных утверждаются приказами генерального директора.
Порядок работы с персональными данными работников и гарантии конфиденциальности сведений о работнике определяется «Положением о защите персональных данных работников федерального государственного бюджетного учреждения «Российская государственная библиотека»», утверждённым приказом ФГБУ «РГБ» от 30.05.2016 № 171.
Порядок работы с персональными данными пользователей ФГБУ «РГБ», в том числе — пользователей электронных услуг и сервисов ФГБУ «РГБ» и (или) пользователей НЭБ, и физических лиц, заключающих с ФГБУ «РГБ» договоры гражданско-правового характера, в том числе лицензионные договоры, определяется «Положением об обработке и защите персональных данных пользователей и иных физических лиц, взаимодействующих с федеральным государственным бюджетным учреждением «Российская государственная библиотека»».
Действия с персональными данными осуществляются как в ИСПДн, в том числе — с использованием средств автоматизации, так и в материальной форме без использования средств автоматизации.
Обработка персональных данных осуществляется с момента их получения ФГБУ «РГБ» и прекращается в случаях: достижения целей обработки, утратой необходимости достижения целей обработки, отзыва согласия субъекта персональных данных на обработку его персональных данных, ликвидации ФГБУ «РГБ» как юридического лица.
Срок обработки персональных данных составляет 75 лет для сотрудников и на протяжении 3 лет на бумажном носителе и 5 лет в электронной форме после окончания срока действия договора с физическим лицом. При этом срок может быть изменён в случае изменения соответствующих положений законодательства Российской Федерации.
Меры по защите персональных данных
В части обеспечения защиты персональных данных, ФГБУ «РГБ» предпринимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения из реестров ФГБУ «РГБ», внесения несогласованных изменений, копирования, распространения, а также от иных неправомерных действий, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к персональным данным.
Передача персональных данных третьим лицам может осуществляется при наличии согласия соответствующего субъекта персональных данных. РГБ может передать персональные данные субъекта персональных данных третьей стороне в следующих случаях:
- Если передача персональных данных необходима для предоставления услуги, включенной в перечень государственных или муниципальных услуг;
- Если субъект персональных данных дал согласие на осуществление передачи своих данных третьей стороне;
- Если передача необходима в рамках установленной законодательством РФ процедуры.
В случае утраты или разглашения персональных данных ФГБУ «РГБ» не несет ответственности, если персональные данные:
- Стали общедоступными до их утраты или разглашения;
- Были получены от третьих лиц до момента их получения ФГБУ «РГБ»;
- Были разглашены с согласия субъекта персональных данных.
Субъект персональных данных имеет право:
ФГБУ «РГБ» как оператор персональных данных вправе:
Порядок ответов на обращения
ФГБУ «РГБ» по запросам субъектов персональных данных и их представителей, уполномоченных органов, осуществляет следующие действия:
Вносит необходимые изменения в персональные данные, а также блокирует обработку и использование персональных данных при предоставлении субъектом персональных данных сведений, подтверждающих, что соответствующие персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах ФГБУ «РГБ» уведомляет пользователя или его законного представителя и третьих лиц, которым персональные данные этого пользователя были переданы (при их наличии).
В случае выявления недостоверных персональных данных или неправомерных действий с ними ФГБУ «РГБ» по запросу субъекта персональных данных осуществляет блокирование их обработки и использования с момента поступления обращения на период проверки. В случае подтверждения факта недостоверности персональных данных, ФГБУ «РГБ» на основании документов, представленных субъектом персональных данных или его законным представителем, вносит уточнения в персональные данные соответствующего лица и снимает блокирование их обработки и использования;
Формирует и направляет в электронной или письменной форме в адрес субъекта персональных данных перечни его обрабатываемых персональных данных, с указанием источников их получения;
Предоставляет в электронной или письменной форме информацию о сроках обработки персональных данных путём размещения в открытом доступе настоящей Политики;
Предпринимает дополнительные меры по защите персональных данных субъекта персональных данных, направившего мотивированное обращение об установлении фактов неправомерной обработки персональных данных, в том числе, в случае наличия такого требования в обращении, осуществляет изменение или уничтожение персональных данных соответствующего субъекта персональных данных;
Осуществляет уничтожение персональных данных в случае отзыва согласия субъекта персональных данных на их обработку.
В случае выявления неправомерных действий с персональными данными немедленно, но не позднее трех рабочих дней от даты такого выявления, ФГБУ «РГБ» устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней от даты выявления неправомерности действий с персональными данными, осуществляется уничтожение соответствующих персональных данных. Об устранении допущенных нарушений или уничтожении персональных данных ФГБУ «РГБ» уведомляет пользователя или его законного представителя в письменной или электронной форме.
Изменение Политики обработки персональных данных
ФГБУ «РГБ» имеет право вносить изменения в настоящую Политику.
При внесении изменений в актуальной редакции Политики указывается дата последнего обновления. Новая редакция Политики вступает в силу с даты ее размещения на сервисах ФГБУ «РГБ», если иное не предусмотрено новой редакцией Политики. Действующая редакция постоянно доступна на странице «Документы» сайта ФГБУ «РГБ» по адресу www.rsl.ru/ru/about/documents .
- Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- Требовать перечень своих персональных данных, обрабатываемых ФГБУ «РГБ», и источник их получения;
- Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- Обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
-
На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Отстаивать свои интересы в суде;
- Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.