ПОЛИТИКА

обработки персональных данных пользователей сайта www.filarmonia39.ru

1. Общие положения

Настоящая политика обработки персональных данных посетителей сайта (далее – Политика) разработана в соответствии со статьей 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), иными применимыми нормативными правовыми актами. Политика определяет порядок и условия обработки персональных данных при использовании официального веб-сайта Государственного бюджетного учреждения культуры «Калининградская областная филармония имени Е.Ф. Светланова» www.filarmonia39.ru (далее – Сайт). Актуальная версия Политики размещается в открытом доступе на Сайте.

Оператор персональных данных: Государственное бюджетное учреждение культуры «Калининградская областная филармония имени Е.Ф. Светланова» (далее – Филармония).

Местонахождение: г. Калининград, ул. Богдана Хмельницкого, д. 61 А.

ИНН 3907009554, КПП 390601001, ОГРН 1023901648165, ОКПО 02191665. Учредитель: Калининградская область через Министерство по культуре и туризму Калининградской области.

Директор: Бобков Виктор Васильевич.

Настоящая Политика распространяется на все персональные данные, которые Оператор получает от пользователей в процессе посещения и использования Сайта, включая данные, предоставляемые пользователями добровольно (например, при направлении электронных обращений через интегрированный виджет «Госуслуги. Решаем вместе») и технические данные, автоматически собираемые при помощи файлов cookie и систем веб-аналитики. Персональные данные понимаются как любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу (субъекту персональных данных).

При первом посещении Сайта пользователь видит баннер уведомления об использовании cookie. Нажатие «СОГЛАШАЮСЬ» или выбор соответствующих настроек означает согласие (или отказ) на установку аналитических cookie; порядок и сроки фиксации согласия приведены в разделах 3 и 5 настоящей Политики.

Оператор обрабатывает персональные данные на законной и справедливой основе, придерживаясь принципов минимизации и соразмерности: собираются и используются только те данные, которые необходимы для достижения заявленных целей обработки. Оператор не обрабатывает специальные категории персональных данных (о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и пр.) и не требует их предоставления при использовании Сайта.

Выполнение Оператором обязанностей, предусмотренных настоящей Политикой, обеспечивает начальник рекламно-информационного отдела Филармонии (reklama@filarmonia39.ru).

Для реализации прав субъектов персональных данных и получения разъяснений по вопросам обработки данных пользователи могут направить обращение Оператору:

почтовый адрес: 236039, г. Калининград, ул. Богдана Хмельницкого, д. 61 А;

электронная почта: info@filarmonia39.ru.

В обращении необходимо указать фамилию, имя, отчество (при наличии) и суть запроса; при необходимости приложить документы, подтверждающие полномочия заявителя. Оператор рассматривает обращения в порядке и сроки, установленные Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее – Закон № 59-ФЗ).

2. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных пользователей Сайта исключительно для достижения следующих целей:

Обращения граждан через виджет «Госуслуги. Решаем вместе». На Сайте размещён встроенный виджет государственной информационной системы «Платформа обратной связи» (далее – ГИС ПОС). Для отправки электронного обращения пользователь проходит авторизацию на Едином портале государственных услуг «Госуслуги» (далее – ЕПГУ). Все персональные данные заявителя (Ф.И.О., контактные данные, содержание обращения и иные сведения) вводятся и обрабатываются непосредственно в ЕПГУ; серверы Сайта этих данных не принимают, не сохраняют и не обрабатывают. Филармония получает через ПОС только обезличенную служебную информацию о зарегистрированном обращении (идентификатор обращения, дата, тема), недостаточную для идентификации заявителя. Полная обработка и хранение персональных данных осуществляется оператором ГИС ПОС – Минцифры России – на условиях политики конфиденциальности ЕПГУ.

Сбор статистики посещений и улучшение работы Сайта. Оператор обрабатывает обезличенные технические данные, автоматически собираемые при помощи файлов cookie и отечественных систем веб-аналитики (Яндекс.Метрика в ограниченном режиме, «Спутник», LiveInternet). Эти данные включают усечённый IР-адрес, cookie-ID, тип и версию браузера, параметры устройства, URL-адреса посещённых страниц, время и длительность визитов. Информация используется исключительно для внутренних аналитических целей: поддержания стабильной работы Сайта, повышения удобства навигации и улучшения контента. На основе этих данных не формируются персонализированные маркетинговые предложения и не ведётся профилирование пользователей.

Обеспечение безопасности и работоспособности Сайта. В целях предотвращения технических сбоев, атак и несанкционированного доступа Оператор временно обрабатывает ряд служебных сведений (усечённые IP-адреса, заголовки НТТР-запросов, сведения о браузере). Такие данные хранятся в журналах сервера ограниченный срок и используются исключительно для выявления и расследования инцидентов информационной безопасности.

Оператор не обрабатывает персональные данные в целях, не совместимых с указанными в пункте 2.1. настоящего раздела Политики. При необходимости обработки данных для иных целей Оператор предварительно запрашивает согласие субъекта персональных данных либо руководствуется иными законными основаниями, предусмотренными законодательством Российской Федерации.

3. Правовые основания обработки персональных данных

Оператор руководствуется Законом № 152-ФЗ «О персональных данных» и иными нормативными актами, определяющими допустимые основания для обработки персональных данных. В контексте работы Сайта применяются следующие правовые основания:

Согласие субъекта персональных данных (статья 9 Закона № 152-ФЗ). На основании согласия обрабатываются технические идентификаторы и аналитические cookie-файлы, собираемые системами веб-аналитики. Пользователь может выразить или отклонить согласие следующими способами:

нажать кнопку «СОГЛАШАЮСЬ» в баннере уведомления о cookie, тем самым разрешив использование аналитических cookie;

нажать «ИЗМЕНИТЬ НАСТРОЙКИ» и переключить ползунок «Аналитические cookie» в положение «ВЫКЛ», что фиксируется как отказ;

продолжить использование Сайта без выбора — в этом случае сохраняются только обязательные (технические) cookie, а аналитические не загружаются;

настроить блокировку сторонних cookie в браузере.

Согласие (или отказ) фиксируется в cookie COOKIE_CONSENT и действует до 365 дней или до момента его изменения пользователем. Запись о факте предоставления (или отказа) хранится в защищённом электронном журнале информационной системы Оператора в течение всего срока обработки аналитических cookie и не менее 3 лет после её прекращения, что позволяет подтвердить получение согласия по требованию субъекта или Роскомнадзора.

При отзыве согласия персонализированные логи аналитических событий подлежат уничтожению (или обезличиванию) в срок не позднее 30 календарных дней.

Исполнение возложенных на Оператора обязанностей (пункт 2 части 1 статьи 6 Закона № 152-ФЗ; Закона № 59-ФЗ). Электронные обращения граждан принимаются через виджет «Госуслуги. Решаем вместе» после авторизации пользователя на ЕПГУ. Полная обработка персональных данных заявителей (Ф.И.О., контактные данные, текст обращения) происходит в ЕПГУ; Сайт не получает и не хранит этих данных. Филармония получает из ГИС ПОС лишь обезличенные служебные сведения (идентификатор обращения, тема, дата регистрации), необходимые для рассмотрения обращения и подготовки ответа. Обработка таких сведений осуществляется без отдельного согласия субъекта, так как она вытекает из полномочий Филармонии по рассмотрению обращений граждан.

Законные интересы Оператора (пункт 7 части 1 статьи 6 Закона № 152-ФЗ). В целях обеспечения безопасности и стабильной работы Сайта Оператор временно обрабатывает минимальный набор технических данных (усечённые IP-адреса, заголовки HTTP-запросов). Такая обработка необходима для выявления и предотвращения атак, диагностики сбоев и не нарушает права и свободы субъектов, поскольку не направлена на идентификацию личности.

Данные, приведённые к обезличенному агрегированному виду (например, суммарные статистические показатели Яндекс.Метрики), перестают относиться к персональным данным (пункт 9 части 1 статьи 3 Закона № 152-ФЗ). Тем не менее Оператор обеспечивает их конфиденциальность и не раскрывает третьим лицам, кроме случаев, прямо предусмотренных законодательством Российской Федерации.

4. Способы и условия обработки персональных данных

Способы обработки. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования (смешанным способом):

автоматизированная обработка применяется при сборе и учёте обезличенных технических данных средствами веб-аналитики и при ведении журналов сервера;

неавтоматизированная обработка возможна при рассмотрении обращений граждан в интерфейсе ГИС ПОС на ЕПГУ в виджете «Госуслуги. Решаем вместе» либо при анализе агрегированных статистических отчётов.

К операциям обработки относятся: сбор, запись, систематизация, накопление, хранение, обезличивание, удаление и уничтожение данных – строго в объёме, необходимом для достижения целей, указанных в разделе 2 настоящей Политики.

Передача персональных данных третьим лицам. Оператор не раскрывает персональные данные пользователей сторонним организациям, за исключением случаев, прямо предусмотренных законодательством или настоящей Политикой. Возможные получатели данных:

Передача данных иным коммерческим организациям, рекламным сетям, социальным медиа, а также за пределы Российской Федерации не осуществляется. Дополнительная передача возможна только с явно выраженного согласия субъекта либо в случаях, предусмотренных законодательством Российской Федерации.

Трансграничная передача данных. Не производится, обработка и хранение всех получаемых данных осуществляется исключительно на территории Российской Федерации.

Сроки хранения:

журналы сервера (усечённые IР, заголовки НТТР-запросов) хранятся до 30 дней либо дольше при расследовании инцидентов безопасности;

обезличенные данные веб-аналитики хранятся в системах Яндекс.Метрики, «Спутник», LiveInternet в сроки, установленные их регламентами (как правило, 12 – 24 мес.) и доступны Филармонии только в агрегированном виде;

реквизиты обращений (ID, тема, дата) сохраняются в учётных записях ГИС ПОС столько, сколько требуется для рассмотрения обращения и формирования отчётности в соответствии с Законом № 59-ФЗ.

По достижении целей обработки либо по истечении указанных сроков персональные данные уничтожаются или обезличиваются. Оператор регулярно проверяет актуальность хранимых сведений и удаляет данные, которые более не требуются для заявленных целей. Исключения допускаются лишь в случаях, когда обязательное хранение установлено законодательством.

5. Меры по обеспечению безопасности персональных данных

Оператор реализует правовые, организационные и технические меры защиты персональных данных в соответствии со статьей 19 Закона № 152-ФЗ, постановлением Правительства Российской Федерации от 01.11.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными актами. Целью мер является обеспечение конфиденциальности, целостности и доступности персональных данных, минимизация рисков несанкционированного доступа, утраты или искажения.

Организационные меры. Включают:

назначение ответственного за организацию обработки и защиту персональных данных;

принятие и регулярное обновление локальных нормативных актов (политик, регламентов, инструкций);

допуск к обработке данных только сотрудников Филармонии, прошедших обучение и подписавших обязательство о неразглашении;

периодический внутренний аудит и контроль соблюдения требований законодательства.

Разграничение доступа. Информационные системы настроены по принципу минимально необходимых прав: каждому сотруднику Филармонии предоставляются индивидуальные учётные данные и только те права доступа, которые требуются для выполнения должностных обязанностей. Действия пользователей при работе с данными фиксируются в журналах.

Защита технической инфраструктуры:

Сайт функционирует по защищённому протоколу HTTPS (TLS 1.3).

серверы размещены в дата-центре на территории Российской Федерации, используются межсетевые экраны, системы обнаружения вторжений и антивирусная защита.

периодически устанавливаются обновления операционных систем и приложений для устранения уязвимостей.

проводится резервное копирование конфигурации и логов; копии хранятся в зашифрованном виде.

Обезличивание. Данные веб-аналитики обрабатываются в агрегированном или псевдонимизированном виде (маскирование IP, уникальные cookie-ID). Персональные данные, полученные через ГИС ПОС, хранятся и обрабатываются исключительно в ЕПГУ; на серверах Филармонии такие данные не сохраняются.

Защита при взаимодействии с внешними сервисами. Оператор заключил соглашения или акцептовал условия использования сервисов (Яндекс.Метрика, ПАО «Ростелеком», LiveInternet), предусматривающие хранение данных на территории Российской Федерации и уровень защиты не ниже требований законодательства. Передача данных третьим лицам без законных оснований не допускается.

План реагирования на инциденты. При утечке или ином инциденте с персональными данными Филармонией осуществляется: незамедлительная фиксация факта, локализация, уведомление руководства, Роскомнадзора и затронутых субъектов (при наличии угрозы их правам и свободам), восстановление работоспособности.

Оператор регулярно оценивает актуальность угроз, пересматривает уровень защищённости и совершенствует меры безопасности по мере развития технологий и изменения нормативных требований.

6. Заключительные положения

Настоящая Политика вступает в силу с даты её публикации на Сайте. Политика действует бессрочно до замены новой версией. Актуальная редакция всегда доступна по соответствующей ссылке на Сайте.

Оператор вправе вносить изменения в Политику в случае обновления законодательства, изменения процессов обработки данных, внедрения новых сервисов или мер безопасности. Новая редакция размещается на Сайте и помечается датой обновления.

Существенные изменения (изменение целей/состава данных, расширение круга получателей) сопровождаются дополнительным уведомлением: всплывающим баннером при посещении Сайта или сообщением на e-mail пользователя (если адрес был предоставлен). Продолжение пользования Сайтом после публикации новой редакции считается акцептом изменений.

Все вопросы обработки персональных данных, не урегулированные Политикой, регулируются Законом № 152-ФЗ и иными применимыми нормативными правовыми актами. Споры подлежат рассмотрению в порядке, установленном законодательством Российской Федерации.

Контроль исполнения Политики осуществляет ответственное лицо по защите персональных данных и руководство Филармонии. Сотрудники Филармонии, допустившие нарушения, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Пользователь подтверждает, что ознакомлен с Политикой, понимает её условия и последствия и соглашается с обработкой своих персональных данных в указанном объёме. При несогласии с условиями Политики пользователь должен прекратить использование Сайта либо направить Оператору возражение для урегулирования.