Мы обрабатываем файлы cookie, чтобы улучшить работу сайта. Оставаясь на сайте, вы соглашаетесь с пользовательским соглашением. Вы можете запретить сохранение cookies в настройках.  Изменить настройки
Logo

Политика обработки персональных данных посетителей сайта

ПОЛИТИКА

об обработки персональных данных посетителей сайта

1. Общие положения

1.1. Настоящая политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных», статьёй 18.1 указанного закона и иными применимыми нормативными правовыми актами. Политика определяет порядок и условия обработки персональных данных при использовании официального веб-сайта Государственного бюджетного учреждения культуры «Калининградский областной музей янтаря» https://ambermuseum.ru (далее — «Сайт»). Актуальная версия Политики размещается в открытом доступе на Сайте.

1.2. Оператор персональных данных: Государственное бюджетное учреждение культуры «Калининградский областной музей янтаря» (сокр. — ГБУК «Музей янтаря»).

Юридический адрес: 236016, Российская Федерация, г. Калининград, пл. Маршала Василевского, д. 1.

ИНН 3906109323, КПП 390601001, ОГРН 1033902809445, ОКПО 14419180.

Учредитель: Министерство по культуре и туризму Калининградской области.

Директор: Петунин Константин Борисович.

1.3. Настоящая Политика распространяется на все персональные данные, которые Оператор получает от пользователей в процессе посещения и использования Сайта, включая данные, предоставляемые пользователями добровольно (например, при направлении электронных обращений через интегрированный виджет «Госуслуги. Решаем вместе») и технические данные, автоматически собираемые при помощи файлов cookie и систем веб-аналитики. Персональные данные понимаются как любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу (субъекту персональных данных).

1.4. При первом посещении Сайта пользователь видит баннер уведомления                             об использовании cookie. Нажатие «СОГЛАШАЮСЬ» или выбор соответствующих настроек означает согласие (или отказ) на установку аналитических cookie; порядок и сроки фиксации согласия приведены в разделах 3 и 5 настоящей Политики.

1.5. Оператор обрабатывает персональные данные на законной и справедливой основе, придерживаясь принципов минимизации и соразмерности: собираются                                  и используются только те данные, которые необходимы для достижения заявленных целей обработки. Оператор не обрабатывает специальные категории персональных данных                      (о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и пр.) и не требует                             их предоставления при использовании Сайта.

1.6. Для обеспечения выполнения Оператором обязанностей, предусмотренных настоящей Политикой, назначено ответственное лицо - начальник отдела информации (info@ambermuseum.ru).

1.7. Для реализации прав субъектов персональных данных и получения разъяснений по вопросам обработки данных пользователи могут направить обращение Оператору:

— почтовый адрес: 236016, г. Калининград, пл. Маршала Василевского, д. 1;

— электронная почта: info@ambermuseum.ru.

В обращении необходимо указать фамилию, имя, отчество (при наличии) и суть запроса; при необходимости приложить документы, подтверждающие полномочия заявителя. Оператор рассматривает обращения в порядке и сроки, установленные законодательством Российской Федерации.

2. Цели обработки персональных данных

2.1. Оператор осуществляет обработку персональных данных пользователей Сайта исключительно для достижения следующих целей:

2.1.1. Обращения граждан через виджет «Госуслуги. Решаем вместе». На Сайте размещён встроенный виджет Платформы обратной связи (ПОС). Для отправки электронного обращения пользователь проходит авторизацию на портале Госуслуг (ЕПГУ). Все персональные данные заявителя (Ф. И. О., контактные данные, содержание обращения и иные сведения) вводятся и обрабатываются непосредственно в государственной информационной системе; серверы Сайта этих данных не принимают, не сохраняют и не обрабатывают. ГБУК «Музей янтаря» получает через ПОС только обезличенную служебную информацию                                             о зарегистрированном обращении (идентификатор обращения, дата, тема), недостаточную для идентификации заявителя. Полная обработка и хранение персональных данных осуществляется оператором Платформы – Минцифры России –                  на условиях политики конфиденциальности портала «Госуслуги».

2.1.2. Сбор статистики посещений и улучшение работы Сайта. Оператор обрабатывает обезличенные технические данные, автоматически собираемые при помощи файлов cookie и отечественных систем веб-аналитики (Яндекс.Метрика                   в ограниченном режиме, «Спутник», LiveInternet). Эти данные включают усечённый IP-адрес, cookie-ID, тип и версию браузера, параметры устройства, URL-адреса посещённых страниц, время и длительность визитов. Информация используется исключительно для внутренних аналитических целей: поддержания стабильной работы Сайта, повышения удобства навигации и улучшения контента. На основе этих данных не формируются персонализированные маркетинговые предложения                 и не ведётся профилирование пользователей.

2.1.3. Обеспечение безопасности и работоспособности Сайта. В целях предотвращения технических сбоев, атак и несанкционированного доступа Оператор временно обрабатывает ряд служебных сведений (усечённые IP-адреса, заголовки HTTP-запросов, сведения о браузере). Такие данные хранятся в журналах сервера ограниченный срок и используются исключительно для выявления                               и расследования инцидентов информационной безопасности.

2.2. Оператор не обрабатывает персональные данные в целях, не совместимых                        с указанными выше. При необходимости обработки данных для иных целей Оператор предварительно запрашивает согласие субъекта персональных данных либо руководствуется иными законными основаниями, предусмотренными законодательством Российской Федерации.

3. Правовые основания обработки персональных данных

3.1. Оператор руководствуется Федеральным законом № 152-ФЗ                                  «О персональных данных» и иными нормативными актами, определяющими допустимые основания для обработки персональных данных. В контексте работы Сайта применяются следующие правовые основания:

·               Согласие субъекта персональных данных (ст. 9 Закона № 152-ФЗ).                      На основании согласия обрабатываются технические идентификаторы                                     и аналитические cookie-файлы, собираемые системами веб-аналитики. Пользователь может выразить или отклонить согласие следующими способами:

— нажать кнопку «СОГЛАШАЮСЬ» в баннере уведомления о cookie, тем самым разрешив использование аналитических cookie;

— нажать «Изменить настройки» и переключить ползунок «Аналитические cookie» в положение «ВЫКЛ», что фиксируется как отказ;

— продолжить использование Сайта без выбора — в этом случае сохраняются только обязательные (технические) cookie, а аналитические не загружаются;

— настроить блокировку сторонних cookie в браузере.

Согласие (или отказ) фиксируется в cookie COOKIE_CONSENT и действует до 365 дней или до момента его изменения пользователем. Запись о факте предоставления (или отказа) хранится в защищённом электронном журнале информационной системы Оператора в течение всего срока обработки аналитических cookie и не менее трёх лет после её прекращения, что позволяет подтвердить получение согласия по требованию субъекта или Роскомнадзора.                 При отзыве согласия персонализированные логи аналитических событий подлежат уничтожению (или обезличиванию) в срок не позднее 30 календарных дней.

Исполнение возложенных на Оператора обязанностей (п. 2 ч. 1 ст. 6 Закона                        № 152-ФЗ; Закон № 59-ФЗ «Об обращениях граждан»). Электронные обращения граждан принимаются через виджет «Госуслуги. Решаем вместе» после авторизации пользователя на портале Госуслуг. Полная обработка персональных данных заявителей (Ф.И.О., контактные данные, текст обращения) происходит                           в государственной информационной системе ЕПГУ; Сайт не получает                            и не хранит этих данных. Музей получает из ПОС лишь обезличенные служебные сведения (идентификатор обращения, тема, дата регистрации), необходимые для рассмотрения обращения и подготовки ответа. Обработка таких сведений осуществляется без отдельного согласия субъекта, так как она вытекает                                   из полномочий музея по рассмотрению обращений граждан.

·               Законные интересы Оператора (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ).                     В целях обеспечения безопасности и стабильной работы Сайта Оператор временно обрабатывает минимальный набор технических данных (усечённые IP-адреса, заголовки HTTP-запросов). Такая обработка необходима для выявления                                      и предотвращения атак, диагностики сбоев и не нарушает права и свободы субъектов, поскольку не направлена на идентификацию личности.

3.2. Данные, приведённые к обезличенному агрегированному виду (например, суммарные статистические показатели Яндекс.Метрики), перестают относиться                                  к персональным данным (ч. 4 ст. 3 Закона № 152-ФЗ). Тем не менее Оператор обеспечивает их конфиденциальность и не раскрывает третьим лицам, кроме случаев, прямо предусмотренных законодательством Российской Федерации.

4. Условия и способы обработки персональных данных

4.1. Способы обработки. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования (смешанным способом):

·               автоматизированная обработка применяется при сборе и учёте обезличенных технических данных средствами веб-аналитики и при ведении журналов сервера;

·               неавтоматизированная обработка возможна при рассмотрении обращений граждан в интерфейсе Платформы обратной связи (ПОС) «Госуслуги. Решаем вместе» либо при анализе агрегированных статистических отчётов.

К операциям обработки относятся сбор, запись, систематизация, накопление, хранение, обезличивание, удаление и уничтожение данных — строго в объёме, необходимом для достижения целей, указанных в разделе 2.

4.2. Передача персональных данных третьим лицам. Оператор                                  не раскрывает персональные данные пользователей сторонним организациям,                        за исключением случаев, прямо предусмотренных законодательством или настоящей Политикой. Возможные получатели данных:

Получатель

Основание/цель

Комментарий

ФГИС «Единый портал государственных и муниципальных услуг (ЕПГУ)

Обработка обращений граждан                  (Закон № 59-ФЗ)

Персональные данные вводятся пользователем во встроенном виджете ПОС после авторизации               на Госуслугах и поступают непосредственно в ЕПГУ. Сайт                  не принимает и не хранит эти данные; музей получает из ПОС только обезличенные реквизиты обращения (ID, тема, дата).

**ООО «Яндекс» (сервис «Яндекс.Метрика»)

Веб-аналитика**

Счётчик работает в «ограниченном режиме»: Webvisor, e-commerce, Measurement API отключены,                       IP-адреса маскируются, передача данных третьим лицам запрещена. Оператор получает исключительно агрегированные отчёты.

LiveInternet

Публичный счётчик посещаемости

Сервис фиксирует обезличённые технические параметры визита (усечённый IP, User-Agent). Данные отображаются в виде суммарной статистики; Оператор                                       не идентифицирует пользователей.

**«Спутник»                  (ПАО «Ростелеком»)

Государственная система статистики**

Счётчик установлен во исполнение методики Роскомнадзора                              для госсайтов. Собирает обезличённые данные о посещениях; предоставляет музею обобщённые аналитические показатели.

Передача данных иным коммерческим организациям, рекламным сетям, социальным медиа, а также за пределы Российской Федерации не осуществляется. Дополнительная передача возможна только с явно выраженного согласия субъекта либо в случаях, предусмотренных законодательством РФ.

4.3. Трансграничная передача данных не производится: обработка                            и хранение всех получаемых данных осуществляется исключительно на территории Российской Федерации.

4.4. Сроки хранения:

·                журналы сервера (усечённые IP, заголовки HTTP-запросов) хранятся                        до 30 дней либо дольше при расследовании инцидентов безопасности;

·                обезличенные данные веб-аналитики хранятся в системах Яндекс.Метрики, «Спутник», LiveInternet в сроки, установленные их регламентами (как правило, 12–24 мес.) и доступны музею только в агрегированном виде;

·                реквизиты обращений (ID, тема, дата) сохраняются в учётных записях ПОС столько, сколько требуется для рассмотрения обращения и формирования отчётности в соответствии с Законом № 59-ФЗ.

4.5. По достижении целей обработки либо по истечении указанных сроков персональные данные уничтожаются или обезличиваются. Оператор регулярно проверяет актуальность хранимых сведений и удаляет данные, которые более                      не требуются для заявленных целей. Исключения допускаются лишь в случаях, когда обязательное хранение установлено федеральным законодательством.

5. Меры по обеспечению безопасности персональных данных

5.1. Оператор реализует правовые, организационные и технические меры защиты персональных данных в соответствии со ст. 19 Закона № 152-ФЗ, приказом Роскомнадзора № 119 и другими нормативными актами. Целью мер является обеспечение конфиденциальности, целостности и доступности персональных данных, минимизация рисков несанкционированного доступа, утраты                                    или искажения.

5.2. Организационные меры включают:

·                назначение ответственного за организацию обработки и защиту персональных данных;

·                принятие и регулярное обновление локальных нормативных актов (политик, регламентов, инструкций);

·                допуск к обработке данных только сотрудников, прошедших обучение и подписавших обязательство о неразглашении;

·                периодический внутренний аудит и контроль соблюдения требований законодательства.

5.3. Разграничение доступа. Информационные системы настроены                             по принципу минимально необходимых прав: каждому сотруднику предоставляются индивидуальные учётные данные и только те права доступа, которые требуются для выполнения должностных обязанностей. Действия пользователей при работе                          с данными фиксируются в журналах.

5.4. Защита технической инфраструктуры.

·                Сайт функционирует по защищённому протоколу HTTPS (TLS 1.3).

·                Серверы размещены в дата-центре на территории РФ, используются межсетевые экраны, системы обнаружения вторжений и антивирусная защита.

·                Периодически устанавливаются обновления операционных систем                   и приложений для устранения уязвимостей.

·                Проводится резервное копирование конфигурации и логов; копии хранятся в зашифрованном виде.

5.5. Обезличивание. Данные веб-аналитики обрабатываются                                              в агрегированном или псевдонимизированном виде (маскирование IP, уникальные cookie-ID). Персональные данные, полученные через ПОС, хранятся                                             и обрабатываются исключительно в государственной информационной системе ЕПГУ; на серверах музея такие данные не сохраняются.

5.6. Защита при взаимодействии с внешними сервисами. Оператор заключил соглашения или акцептовал условия использования сервисов (Яндекс.Метрика, ПАО «Ростелеком», LiveInternet), предусматривающие хранение данных на территории РФ и уровень защиты не ниже требований законодательства. Передача данных третьим лицам без законных оснований не допускается.

5.7. План реагирования на инциденты. В учреждении утверждён порядок действий при утечке или ином инциденте ПДн: незамедлительная фиксация факта, локализация, уведомление руководства, Роскомнадзора и затронутых субъектов (при наличии угрозы их правам и свободам), восстановление работоспособности.

5.8. Оператор регулярно оценивает актуальность угроз, пересматривает уровень защищённости и совершенствует меры безопасности по мере развития технологий и изменения нормативных требований.

6. Заключительные положения

6.1. Настоящая Политика утверждена приказом директора ГБУК «Музей янтаря» и вступает в силу с даты её публикации на Сайте. Политика действует бессрочно до замены новой версией. Актуальная редакция всегда доступна                             по ссылке в подвале Сайта.

6.2. Оператор вправе вносить изменения в Политику в случае обновления законодательства, изменения процессов обработки данных, внедрения новых сервисов или мер безопасности. Новая редакция размещается на Сайте и помечается датой обновления.

6.3. Существенные изменения (изменение целей/состава данных, расширение круга получателей) сопровождаются дополнительным уведомлением: всплывающим баннером при посещении Сайта или сообщением на e-mail пользователя (если адрес был предоставлен). Продолжение пользования Сайтом после публикации новой редакции считается акцептом изменений.

6.4. Все вопросы обработки персональных данных, не урегулированные Политикой, регулируются Федеральным законом № 152-ФЗ и иными нормативными актами РФ. Споры подлежат рассмотрению в порядке, установленном законодательством Российской Федерации.

6.5. Контроль исполнения Политики осуществляет ответственное лицо                      по защите персональных данных и руководство музея. Сотрудники, допустившие нарушения, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством.

6.6. Пользователь подтверждает, что ознакомлен с Политикой, понимает                   её условия и последствия и соглашается с обработкой своих персональных данных в указанном объёме. При несогласии с условиями Политики пользователь должен прекратить использование Сайта либо направить Оператору возражение для урегулирования.

Скачать (открыть) файл политика обработки персональных данных.