2. Оператор обрабатывает и хранит только ту персональную информацию, которая необходима для предоставления им услуг или исполнения соглашений и договоров с субъектом персональных данных, за исключением случаев, когда законодательством Российской Федерации предусмотрено обязательное хранение персональной информации в течение определенного законом срока.

3. Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4. К субъектам персональных данных, на которых распространяется действие настоящего Положения, относятся работники оператора и участники организуемых оператором фестивалей.

5. Оператор обязан обрабатывать персональные данные для целей, указанных в настоящем Положении и Положении об обработке и защите персональных данных.

6. К персональным данным обрабатываемым оператором, относится любая информация, соотносимая прямо или косвенно к определенному или определяемому физическому лицу, в том числе: ФИО, год/месяц/дата рождения, пол, паспортные данные, СНИЛС, ИНН, адрес, телефон, адрес электронной почты.

7. Обработка персональных данных совершается оператором путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных.

8. Оператор хранит персональные данные субъекта персональных данных в соответствии с Положением об обработке и защите персональных данных.
Оператор обязан обеспечить конфиденциальность персональных данных, не разглашать без предварительного письменного разрешения субъекта персональных данных, а также не осуществлять продажу, обмен, опубликование полученных персональных данных субъекта персональных данных.

9. Работник оператора, в должностные обязанности которого входит обработка персональных данных, допускается к работе после подписания обязательства об их неразглашении.

10. В отношении персональных данных субъекта персональных данных сохраняется их конфиденциальность, кроме случаев добровольного предоставления субъектом персональных данных информации о себе для общего доступа неограниченному кругу лиц.

11. Оператор вправе передать персональные данные субъекта персональных данных третьим лицам в случае, если передача предусмотрена законодательством Российской Федерации.

12. Обработка персональных данных субъекта персональных данных осуществляется любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. При обработке персональных данных субъекта персональных данных оператор руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
12.1. При обработке персональных данных в информационных системах оператор соблюдает требования, установленные Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных" и Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
12.2. При обработке персональных данных без использования средств автоматизации оператор соблюдает требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 N 687.

13. При неправомерной или случайной передаче (предоставлении доступа, распространении) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент), оператор:
- незамедлительно информирует субъекта персональных данных об утрате или разглашении персональных данных;
- в течение 24 часов уведомляет уполномоченный орган об инциденте, причинах инцидента, вреде, причиненном правам субъекта персональных данных, принятых мерах по устранению последствий инцидента, ответственном лице, уполномоченном взаимодействовать по связанным с инцидентом вопросам;
- в течение 24 часов проводит внутреннее расследование и в течение 72 часов уведомляет уполномоченный орган о результатах внутреннего расследования и лицах, действия которых привели к инциденту.
При направлении уведомления уполномоченному органу оператор руководствуется Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

14. При обработке персональных данных оператор принимает необходимые организационные и технические меры для защиты персональных данных субъекта персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц, в том числе:
- определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01.11.2012 N 1119, уровни защищенности персональных данных;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- применение для уничтожения персональных данных средств защиты информации (в составе которых реализована функция уничтожения информации), прошедших в установленном порядке процедуру оценки соответствия;
- проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- ведение учета машинных носителей персональных данных;
- обеспечение обнаружения фактов несанкционированного доступа к персональным данным и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.

15. Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, в порядке и на условиях, предусмотренных законодательством в области персональных данных.