Политика конфиденциальности
Порядок обработки персональных данных посетителей сайта ГБУК г. Москвы «Музей Памяти». Состав данных, цели обработки, права субъектов.
1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению их безопасности, предпринимаемые Государственным бюджетным учреждением культуры города Москвы «Музей Памяти» (далее — Оператор).
1.1. Оператор ставит своей важнейшей целью соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://memorymuseum.ru/.
Реквизиты Оператора
| Реквизит | Значение |
|---|---|
| Полное наименование | Государственное бюджетное учреждение культуры города Москвы «Музей Памяти» |
| Юридический адрес | г. Москва, ул. адрес |
| Почтовый адрес для письменных обращений по вопросам обработки ПД | г. Москва, ул. адрес |
| ИНН | ИНН |
| ОГРН | ОГРН |
| Электронная почта | info@memorymuseum.ru |
| Телефон | номер телефона |
Данный блок должен быть заполнен перед публикацией.
2. Основные понятия
2.1. Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения данных).
2.3. Веб-сайт — совокупность информационных материалов и программ, доступных по адресу https://memorymuseum.ru/.
2.4. Обезличивание — действия, в результате которых невозможно определить без дополнительной информации принадлежность персональных данных конкретному субъекту.
2.5. Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
2.6. Оператор — юридическое лицо, организующее и/или осуществляющее обработку персональных данных и определяющее её цели.
2.7. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных) в соответствии со ст. 3 п. 1 Закона о персональных данных. Настоящая политика распространяется на данные, получаемые Оператором через сайт https://memorymuseum.ru/.
2.8. Пользователь — любой посетитель сайта https://memorymuseum.ru/.
2.9. Трансграничная передача — передача персональных данных на территорию иностранного государства.
2.10. Уничтожение — действия, в результате которых персональные данные уничтожаются безвозвратно.
3. Основные права и обязанности Оператора
3.1. Оператор вправе:
— получать от субъекта достоверную информацию и/или документы, содержащие персональные данные;
— продолжать обработку персональных данных без согласия субъекта при наличии иного законного основания, предусмотренного ст. 6 ч. 1 Закона о персональных данных (исполнение федерального закона, исполнение договора, защита жизненно важных интересов, осуществление полномочий органа власти, иные основания, установленные законом), — в части данных, обработка которых осуществлялась на соответствующем основании. Данные, обрабатывавшиеся исключительно на основании согласия субъекта, уничтожаются после его отзыва, если для их обработки не возникло иного законного основания. Перечень применимых оснований указан в разделе 7;
— самостоятельно определять состав мер, необходимых для выполнения обязанностей, предусмотренных Законом о персональных данных.
3.2. Оператор обязан:
— предоставлять субъекту персональных данных информацию о ходе обработки его данных по его запросу;
— организовывать обработку персональных данных в соответствии с действующим законодательством РФ;
— принимать правовые, организационные и технические меры защиты персональных данных;
— публиковать настоящую Политику в открытом доступе;
— прекратить обработку и уничтожить персональные данные в порядке, предусмотренном Законом.
4. Права субъектов персональных данных
4.1. В соответствии с ч. 1 ст. 14 Закона о персональных данных субъект вправе требовать от Оператора:
— подтверждения факта обработки персональных данных Оператором, а также сведений о целях, правовых основаниях, способах и сроках такой обработки (п. 1, 2, 3, 5 ч. 1 ст. 14);
— перечня обрабатываемых персональных данных, относящихся к субъекту, и источника их получения (п. 4 ч. 1 ст. 14);
— сведений о том, кому персональные данные были или могут быть переданы, в том числе наименования и адреса получателей (п. 6 ч. 1 ст. 14).
Оператор обязан предоставить запрошенные сведения в течение 10 рабочих дней с даты получения запроса субъекта (ч. 4 ст. 20 Закона о персональных данных). При невозможности предоставить информацию в указанный срок Оператор письменно уведомляет субъекта с указанием причины задержки.
4.2. Субъект вправе требовать уточнения персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.3. Субъект вправе требовать прекращения обработки и/или уничтожения персональных данных в случае, если Оператор утратил законное основание для их обработки либо данные более не необходимы для достижения целей обработки (ч. 3 ст. 21 Закона о персональных данных). Оператор обязан исполнить такое требование в течение 10 рабочих дней.
4.4. Субъект вправе отозвать согласие на обработку персональных данных в любое время. Порядок отзыва согласия предусмотрен разделом 8.5 настоящей Политики.
4.5. Субъект вправе обжаловать неправомерные действия или бездействие Оператора, нарушающие требования Закона о персональных данных, путём подачи жалобы в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор): сайт https://rkn.gov.ru/, почта 77.rkn.gov.ru.
4.6. Субъект вправе защищать свои права и законные интересы в судебном порядке, в том числе требовать возмещения убытков и (или) компенсации морального вреда (ст. 17 Закона о персональных данных, ст. 24 Закона о персональных данных).
4.7. Субъекты персональных данных обязаны предоставлять Оператору достоверные данные и сообщать об их изменении. Лица, передавшие недостоверные сведения, несут ответственность в соответствии с законодательством РФ.
5. Принципы обработки персональных данных
5.1. Обработка осуществляется на законной и справедливой основе.
5.2. Обработка ограничивается конкретными, заранее определёнными и законными целями.
5.3. Не допускается объединение баз данных, обработка которых ведётся в несовместимых целях.
5.4. Объём обрабатываемых данных соответствует заявленным целям и не является избыточным.
5.5. Обеспечивается точность данных; неполные или неточные данные обновляются или удаляются.
5.6. Данные хранятся не дольше, чем этого требуют цели обработки или действующее законодательство (ст. 5 ч. 4 Закона о персональных данных). Конкретные сроки хранения по каждой категории данных приведены в разделе 8.
6. Цели и состав обработки персональных данных
| Цель обработки | Состав данных | Правовые основания |
|---|---|---|
| Обработка обращений и запросов посетителей | Имя, электронный адрес, номер телефона, текст обращения | Согласие субъекта (ст. 9 152-ФЗ) |
| Запись на экскурсии и мероприятия | Имя, контактные данные, дата посещения | Согласие субъекта; исполнение публичной оферты (ст. 6 ч. 1 п. 5 152-ФЗ, ст. 437 ГК РФ) |
| Информирование о деятельности музея (новостная рассылка по электронной почте) | Имя, адрес электронной почты | Отдельное согласие субъекта на получение информационных рассылок (ст. 9 152-ФЗ, ст. 18 ч. 1 38-ФЗ «О рекламе») |
| Аналитика сайта (Яндекс.Метрика) | Технические данные: IP-адрес, тип и версия браузера, операционная система, URL просматриваемых страниц, события кликов, глубина прокрутки, продолжительность сессии, источник перехода (реферер), файлы cookie Яндекс.Метрики (_ym_uid, _ym_d и связанные идентификаторы) | Согласие субъекта (cookie-баннер) (ст. 9 152-ФЗ) |
Запись на экскурсии и мероприятия осуществляется на основании публичной оферты Оператора. Направление заявки на бронирование (заполнение и отправка формы) является акцептом публичной оферты; обработка персональных данных на основании исполнения договора начинается с момента подтверждения бронирования.
6.1. Cookie-файлы и аналитика
Оператор использует сервис Яндекс.Метрика (ООО «Яндекс», ИНН 7736207543). Сервис устанавливает следующие cookie-файлы:
| Название cookie | Провайдер | Цель | Срок хранения |
|---|---|---|---|
| _ym_uid | Яндекс | Уникальный идентификатор посетителя для статистики | 1 год |
| _ym_d | Яндекс | Дата первого визита посетителя | 1 год |
| _ym_isad | Яндекс | Определение наличия блокировщика рекламы | 2 дня |
| _ym_visorc | Яндекс | Сессионный идентификатор WebVisor | 30 минут |
| yandexuid | Яндекс | Идентификатор пользователя Яндекс | 1 год |
Consent на использование аналитических cookie-файлов получается через cookie-баннер, отображаемый при первом визите. Баннер предусматривает отдельные кнопки «Принять» и «Отклонить» (cookie аналитики не активируются до получения явного согласия; принятие по умолчанию не применяется). Пользователь вправе отозвать согласие через настройки браузера или обратившись по адресу info@memorymuseum.ru.
IP-адреса передаются Яндексу в стандартной конфигурации счётчика. Оператор не гарантирует обезличивание IP-адресов на стороне Яндекса, если соответствующая настройка в счётчике Метрики не активирована. Пользователь, не желающий передавать данные в Яндекс.Метрику, вправе отклонить аналитические cookie через баннер или установить браузерный плагин «Яндекс.Браузер: не учитывать мой IP».
ООО «Яндекс» действует как самостоятельный оператор персональных данных в отношении собранной аналитической информации в соответствии со своей Политикой конфиденциальности: https://yandex.ru/legal/confidential/. Вместе с тем Оператор несёт ответственность перед субъектом за законность передачи данных Яндексу, в том числе за надлежащее получение согласия на аналитические cookie.
6.2. Прямые коммуникации
Рассылки информационного характера о деятельности музея (анонсы событий, новости) направляются исключительно по адресу электронной почты и только на основании отдельного согласия субъекта, полученного посредством соответствующей формы подписки. Согласие на информационную рассылку не является условием получения иных услуг Оператора.
Субъект вправе в любое время отказаться от получения рассылки:
— перейдя по ссылке «Отписаться» в любом письме рассылки;
— направив запрос на адрес info@memorymuseum.ru с пометкой «Отписка от рассылки».
Оператор прекращает направление рассылок в течение 10 рабочих дней с момента получения запроса об отписке (ст. 18 ч. 1 Федерального закона № 38-ФЗ «О рекламе»).
7. Условия обработки персональных данных
7.1. Обработка персональных данных осуществляется при наличии одного из следующих оснований (ст. 6 ч. 1 Закона о персональных данных):
— согласие субъекта персональных данных;
— исполнение договора, стороной которого является субъект персональных данных, либо заключение договора по его инициативе (публичная оферта);
— необходимость исполнения обязанности, предусмотренной федеральным законом;
— необходимость защиты жизни или здоровья субъекта либо иного лица при невозможности получения согласия субъекта;
— осуществление прав и законных интересов Оператора или третьих лиц при условии, что права субъекта не нарушаются.
7.2. Обработка без согласия субъекта, предусмотренная настоящим разделом, ограничивается теми данными и теми целями, для которых применимо соответствующее законное основание. После отзыва согласия Оператор продолжает обработку лишь тех данных, для которых имеется иное действующее законное основание (например, хранение сведений о бронировании в целях исполнения налогового и бухгалтерского законодательства). Данные, обрабатывавшиеся исключительно на основании согласия, уничтожаются в срок, предусмотренный разделом 8.
8. Порядок сбора, хранения и передачи персональных данных
8.1. Оператор обеспечивает сохранность персональных данных и исключает доступ к ним неуполномоченных лиц.
8.2. Персональные данные Пользователя не передаются независимым третьим лицам, за исключением случаев, прямо предусмотренных законодательством (в том числе передачи уполномоченным органам по их законному запросу) либо при наличии согласия субъекта.
Передача данных операторам связи и IT-поставщикам, обеспечивающим функционирование сайта и инфраструктуры (хостинг-провайдер, Яндекс.Метрика), осуществляется на основании договора поручения обработки персональных данных в соответствии со ст. 6 ч. 3 Закона о персональных данных. Такая передача не является передачей независимым третьим лицам и не требует отдельного согласия субъекта. Операторы, выступающие поручителями, обязаны обрабатывать данные исключительно в целях, указанных Оператором, соблюдать конфиденциальность и обеспечивать безопасность персональных данных.
Список лиц, привлечённых на основании договора поручения:
| Наименование | Роль | Цель передачи |
|---|---|---|
| ООО «Яндекс» | Поручитель / самостоятельный оператор (в части аналитики) | Веб-аналитика (Яндекс.Метрика) |
| Хостинг-провайдер (наименование заполняется до публикации) | Поручитель | Хранение и обработка данных на серверах |
8.3. Для актуализации своих персональных данных Пользователь может направить уведомление на адрес info@memorymuseum.ru с пометкой «Актуализация персональных данных».
8.4. Сроки хранения персональных данных по категориям:
| Категория данных | Срок хранения | Основание |
|---|---|---|
| Данные форм обращений (имя, e-mail, телефон, текст обращения) | 3 года с даты последнего обращения | Срок исковой давности (ст. 196 ГК РФ) |
| Данные бронирования экскурсий и мероприятий | 5 лет с даты мероприятия | Требования налогового и бухгалтерского законодательства (ст. 29 402-ФЗ «О бухгалтерском учёте») |
| Данные подписки на рассылку (e-mail, имя) | До отзыва согласия или отписки; после отписки — 1 год для подтверждения факта отписки | Ст. 9 ч. 4, ст. 5 152-ФЗ |
| Идентификаторы аналитических cookie (_ym_uid, _ym_d) | 13 месяцев с момента установки cookie | Срок, предусмотренный настройками Яндекс.Метрики |
По истечении соответствующего срока персональные данные уничтожаются или обезличиваются, если федеральный закон не предусматривает иного.
8.5. Пользователь вправе в любой момент отозвать своё согласие, направив уведомление на адрес info@memorymuseum.ru с пометкой «Отзыв согласия на обработку персональных данных». Оператор прекращает обработку данных, осуществлявшейся на основании согласия, в течение 30 календарных дней с даты получения отзыва и уничтожает соответствующие персональные данные, если иное законное основание для их обработки отсутствует (раздел 7 настоящей Политики).
8.6. Данные, передаваемые сторонним сервисам (аналитика, платёжные системы), обрабатываются ими на основании договоров поручения (ст. 6 ч. 3 Закона о персональных данных). Оператор несёт ответственность перед субъектами персональных данных за законность и безопасность такой передачи. Привлечённые операторы-поручители обязаны обеспечивать конфиденциальность и безопасность полученных данных.
8.7. Оператор обеспечивает конфиденциальность персональных данных.
9. Организационные и технические меры защиты
В соответствии со ст. 18.1 ч. 1 п. 2 Закона о персональных данных Оператор принимает следующие меры по обеспечению безопасности персональных данных:
— ограничение доступа к персональным данным: доступ предоставляется сотрудникам исключительно в объёме, необходимом для выполнения служебных обязанностей;
— включение обязательств о конфиденциальности персональных данных в трудовые договоры и должностные инструкции работников, имеющих доступ к персональным данным;
— применение организационных и технических мер защиты информационных систем (шифрование каналов передачи данных, разграничение прав доступа, резервное копирование);
— проведение периодического контроля соответствия обработки персональных данных требованиям законодательства.
Ответственный за организацию обработки персональных данных (ст. 18.1 ч. 1 п. 1 Закона о персональных данных): должность и контактные данные ответственного лица указываются Оператором до публикации настоящей Политики. По вопросам, связанным с обработкой персональных данных, обращаться на адрес info@memorymuseum.ru.
10. Перечень действий с персональными данными
Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение персональных данных как с использованием средств автоматизации, так и без них.
11. Трансграничная передача персональных данных
11.1. Передача персональных данных на серверную инфраструктуру ООО «Яндекс» в рамках использования Яндекс.Метрики может квалифицироваться как трансграничная передача в случае обработки данных на серверах, расположенных за пределами Российской Федерации.
11.2. До начала трансграничной передачи персональных данных Оператор направляет уведомление в Роскомнадзор в порядке и с содержанием, предусмотренными ч. 3 ст. 12 Закона о персональных данных. Передача данных начинается только после получения подтверждения либо отсутствия возражений со стороны уполномоченного органа (ч. 5 ст. 12 Закона о персональных данных).
11.3. Трансграничная передача персональных данных на территорию государств, обеспечивающих адекватную защиту прав субъектов персональных данных согласно Приказу Роскомнадзора № 178 от 14.07.2022, осуществляется без дополнительных ограничений.
11.4. Трансграничная передача персональных данных на территорию государств, не включённых в перечень Приказа РКН № 178, допускается при наличии одного из следующих оснований (ч. 7 ст. 12 Закона о персональных данных):
— согласие субъекта персональных данных, осведомлённого о возможных рисках такой передачи;
— исполнение договора, стороной которого является субъект персональных данных;
— защита жизни или здоровья субъекта либо третьих лиц при невозможности получения согласия субъекта;
— исполнение международного договора Российской Федерации;
— осуществление правосудия, исполнение судебного акта, акта иного органа или должностного лица;
— осуществление прав и законных интересов Оператора или третьих лиц, если это не нарушает права субъекта.
12. Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта, если иное не предусмотрено федеральным законом.
13. Заключительные положения
13.1. По вопросам обработки персональных данных Пользователь может обратиться к Оператору по адресу электронной почты info@memorymuseum.ru или направить письменный запрос по почтовому адресу Оператора, указанному в разделе 1.
13.2. Настоящая Политика может быть изменена в связи с изменением законодательства, изменением состава обрабатываемых данных или иных обстоятельств. Новая редакция Политики вступает в силу через 30 дней после её публикации по адресу https://memorymuseum.ru/policy, если только изменение не вызвано требованиями закона и не требует более срочного применения. Уведомление об изменениях размещается на главной странице сайта. Продолжение использования сайта после вступления изменений в силу означает согласие с новой редакцией Политики. Если изменения расширяют цели или состав обработки данных, которые ранее осуществлялись на основании согласия, Оператор получает новое согласие субъекта.
13.3. Актуальная версия Политики размещена в открытом доступе по адресу https://memorymuseum.ru/policy.