Библиотека и персональные данные: какими документами регламентируется

Обработка и защита персональных данных в библиотеках регламентируются как общими нормативными актами Российской Федерации, так и специфическими документами, которые библиотеки разрабатывают на своей основе.
Основные федеральные законы
Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных». Определяет общие принципы и условия обработки персональных данных, устанавливает запрет на обработку без согласия субъекта, за исключением случаев, предусмотренных законом. Определяет понятия «персональные данные», «оператор», «обработка персональных данных» и другие.
Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации». Регулирует вопросы обработки информации, включая персональные данные, в том числе в информационных системах.
Федеральный закон от 29 декабря 1994 года №78-ФЗ «О библиотечном деле». Определяет общие принципы деятельности библиотек, включая вопросы работы с пользователями и их данными.
Постановления Правительства РФ
Постановление Правительства РФ от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Устанавливает технические и организационные меры по защите данных при их обработке в информационных системах.
Постановление Правительства РФ от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Регламентирует обработку данных вручную (например, в бумажных картотеках).
Постановление Правительства РФ от 21 марта 2012 года №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Определяет дополнительные меры для государственных и муниципальных операторов.
Приказы федеральных служб
Приказ ФСТЭК России от 18 февраля 2013 года №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Устанавливает требования к мерам защиты данных.
Приказ ФСБ России от 10 июля 2014 года №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации». Регламентирует использование криптографии для защиты данных.
Локальные документы библиотек
Библиотеки разрабатывают собственные документы, которые конкретизируют применение общего законодательства в их деятельности:
Политика в отношении защиты персональных данных. Определяет позицию библиотеки в отношении обработки и защиты данных, права и обязанности субъектов данных.
Положение о обработке и защите персональных данных пользователей. Регламентирует отношения, связанные с обработкой и защитой данных пользователей, цели обработки, порядок сбора, хранения и уничтожения данных.
Приказы и инструкции. Например, приказы о назначении ответственных лиц за защиту данных, о перечне лиц, допущенных к информационным системам персональных данных, об утверждении локальных актов по обработке данных.
Согласия на обработку персональных данных. Субъект данных (пользователь библиотеки) даёт письменное согласие на обработку своих данных при записи в библиотеку или использовании услуг.
Дополнительные аспекты
Обработка персональных данных в библиотеках осуществляется только с письменного согласия пользователя, за исключением случаев, предусмотренных законом.
Библиотека обязана обеспечивать конфиденциальность данных, за исключением случаев обезличивания или если данные являются общедоступными.
Работники библиотеки, имеющие доступ к персональным данным, подписывают обязательство о неразглашении.
Библиотека должна информировать пользователя о наличии его данных и предоставлять возможность ознакомления с ними по письменному запросу.
Нарушение требований законодательства о персональных данных влечёт ответственность, включая дисциплинарную, административную и уголовную.