1. Общие положения

1.1. Назначение документа.
1.1.1. Политика обработки персональных данных в КлубНескучныхЧтенийLIBrary(далее – Политика) определяет порядок сбора, хранения, передачи, уничтожения и других видов обработки персональных данных в КлубНескучныхЧтенийLIBrary (далее – Общество).
1.1.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152), Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 01.11.2012 № 1119, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687.
1.2. Область действия документа.
1.2.1. Действие Политики распространяется на информационные системы персональных данных Общества, в которых осуществляется обработка персональных данных с использованием средств автоматизации, а также на процессы, связанные с обработкой персональных данных без использования средств автоматизации.
1.3. Вступление документа в силу.
1.3.1. Настоящая Политика вступает в силу с момента ее утверждения Директором Общества и действует бессрочно до замены ее новой Политикой.
1.3.2. Все изменения в Политику вносятся приказом Директора Общества.

1.4. Обработка персональных данных осуществляется:
1.4.1. Обработка персональных данных осуществляется на законной и справедливой основе.
1.4.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 
1.4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.
1.4.4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
1.4.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
1.4.6. При обработке персональных данных обеспечивается точность их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.
1.4.7. Данные, которые не являются персональными, обрабатываются аналогично остальным данным Общества, подлежащим защите.  
1.5. Определяется перечень лиц, допущенных к обработке персональных данных.
1.6. Лица, допущенные к обработке персональных данных, подписывают обязательство о неразглашение информации, содержащей персональные данные.
1.7. Работники получают доступ к персональным данным исключительно в объеме, необходимом для выполнения своих должностных обязанностей.
1.8. Запрещается обработка персональных данных в присутствии лиц, не допущенных к их обработке.

2. Сбор персональных данных
2.1. Сбор, накопление, хранение, изменение использование и передача персональных данных осуществляется при условии наличия согласия субъекта персональных данных. Исключение составляют случаи, когда в соответствии с действующим законодательством РФ допускается обработка персональных данных без получения согласия субъекта персональных данных, а именно:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством РФ наоператора функций, полномочий, обязанностей.
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с действующим законодательствомРФ об исполнительном производстве.
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия субъекта персональных данных невозможно.
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе.

3. Порядок обработки персональных данных с использованием средств автоматизации
3.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
3.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
− при отсутствии установленных и настроенных сертифицированных средств защиты информации в соответствии с требованиями государственных регуляторов к классам информационных систем;
− при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
− без направления уведомления об обработке персональных данных в региональное Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона.
3.3. Размещение автоматизированных информационных систем и специальногооборудования обеспечивает сохранность носителей персональных данных и средств защиты информации, а также исключает возможность неконтролируемого пребывания в соответствующих помещениях посторонних лиц.
3.4. Пересылка персональных данных без использования сертифицированных средств криптографической защиты информации по общедоступным сетям связи, в том числе Интернет, не допускается.
3.5. При обработке персональных данных в автоматизированной информационной системе обеспечивается:
− реализация требований защиты информации в информационных системах персональных данных, установленных Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации;
− обучение лиц, использующих средства защиты информации правилам работы с ними;
− учет лиц, допущенных к работе с персональными данными в автоматизированной информационной системе;
− регистрация обращений пользователей к персональным данным в автоматизированной информационной системе в электронном журнале;
− контроль электронного журнала обращений со стороны уполномоченныхдолжностных лиц оператора;
− учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
− контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
− описание системы защиты персональных данных;
− резервное копирование и оперативное восстановление персональных данных.

4. Порядок обработки персональных данных без использования средств автоматизации
4.1. Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
4.2. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка) осуществляется на материальных носителях при непосредственном участии человека без применения средств вычислительной техники.
4.3. При неавтоматизированной обработке персональных данных на материальныхносителях:
4.3.1. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы, а также персональных данных различных категорий.
4.3.2. Персональные данные обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
4.3.3. Документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных.
4.3.4. Дела с документами, содержащими персональные данные, имеют внутренние описи документов с указанием цели обработки и категории персональных данных.
4.3.5. Определены места хранения материальных носителей и установлен перечень лиц, допущенных к обработке персональных данных.
4.3.6. Обеспечиваться условия, направленные на сохранность персональных данных и исключение несанкционированного доступа к ним. 
4.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных 
(далее - типовая форма), соблюдаются следующие условия:
4.4.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных.
4.4.2. Типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на обработку персональных данных).
4.4.3. Типовая форма составлена таким образом, чтобы каждый из субъектов,персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
4.4.4. Типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
4.5. Неавтоматизированная обработка персональных данных в электронном виде может осуществляться на внешних электронных носителях информации без использования их на средствах вычислительной техники. В частности, такой обработкой может являться хранение, передача или уничтожение персональных данных.
4.6. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме.
4.7. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном материальном носителе, если носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
4.7.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию.
4.7.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.8. Документы и внешние электронные носители информации, содержащие персональные данные, хранится в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом созданы надлежащие условия, обеспечивающие их сохранность.
4.9. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
4.10. Уничтожение носителей персональных данных производится комиссией в составе не менее 3 человек с оформлением акта.
4.11. В акте уничтожения носителей в обязательном порядке перечисляются Ф.И.О. всех субъектов, персональные данные которых подлежат уничтожению.

5. Порядок реагирования на запросы субъектов персональных данных
5.1. Субъект персональных данных имеет право на получение сведений о наличии на предприятии его персональных данных, а также на ознакомление с такими персональными данными в соответствии со статьей 14 ФЗ № 152.
5.2. Все поступившие письменные и электронные (подписанные ЭЦП) запросы субъектов персональных данных или их законных представителей регистрируются в Журнале учета обращений субъектов персональных данных, а затем направляются компетентному работнику для подготовки ответа субъекту персональных данных.
5.3. Ответ в письменной форме на запрос субъекта формируется компетентным работником, подписан руководителем предприятия и отправлен в срок, не превышающий тридцати календарных дней, в адрес субъекта.


6. Передача персональных данных третьим лицам
6.1. Общество вправе поручить обработку персональных данных другому лицу с согласия самого субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Общество в договоре обязывает лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом № 152 – ФЗ «О персональных данных».
6.2. В случае если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
6.3. Общество обязуется и обязывает иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять получившею информацию без согласия самого субъекта, если иное не предусмотрено действующим законодательством РФ.