ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Благотворительного фонда «Наша Память»
1. Общие положения.
1.1. Настоящая Политика обработки персональных данных (далее – «Политика») Благотворительного фонда «Наша Память» (далее – Оператор), разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.
1.2. Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных (далее – «Субъекта») при обработке его персональных данных (далее – «ПДн»).
1.3. Настоящая Политика, а также любые изменения и дополнения к ней утверждаются Приказом единоличного исполнительного органа Оператора.
1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки ПДн работников Оператора и других Субъектов.
2. Цели обработки ПДн
2.1. Персональные данные обрабатываются Оператором в следующих целях:
- Осуществление деятельности, предусмотренной Уставом Оператора;
- Осуществление информационных рассылок;
- достижение целей, предусмотренных международным договором Российской Федерации или законом;
- исполнение обязанностей, возложенных на Оператора действующим законодательством РФ;
- осуществление прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства РФ, обеспечению безопасности деятельности;
- достижение общественно значимых целей создания эффективных инструментов для выполнения требований законодательства, противодействия коррупции, мошенничеству, легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
- осуществление прав и обязанностей работодателя, обучения работников Оператора, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;
- принятие решения о трудоустройстве кандидата;
- заключение и исполнение обязательств по договорам гражданско-правового характера, в том числе по трудовым договорам и государственным контрактам;
- осуществление обратной связи с пользователями Интернет-сайта Оператора, в том числе для получение от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направление им ответов;
- формирование обезличенного цифрового портрета пользователя сайта Оператора, лица, осуществляющего платежи через сайта Оператора
- иные законные цели.
3. Правовые основания обработки ПДн
3.1. Обработка ПДн осуществляется Оператором на основе и с учётом требований следующих нормативно-правовых актов:
3.1.1. Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации;
3.1.2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
3.1.3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
3.1.4. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3.1.5. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
3.1.6. Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
3.1.7. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
3.1.8. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
3.1.9. Приказ ФНС от 17.11.2010 № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».
3.1.10. Закон РФ от 27.12.1991 № 2124-1 «О средствах массовой информации».
3.1.11. Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4. Действия с ПДн
4.1. При обработке ПДн Оператор осуществляет следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.2. При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории РФ.
4.3. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением предусмотренных законодательством случаев.
4.4. Условия обработки ПДн Оператором определяются локальными актами Оператора, регулирующими соответствующие сферы деятельности Оператора.
4.5. Оператор раскрывает обрабатываемые ПДн только на основаниях и в случаях, предусмотренных законодательством РФ, в том числе в связи с выпуском и распространением продукции средства массовой информации.
4.6. Сроки обработки ПДн определяются в соответствии со сроком, указанным в согласии Субъекта, а также в соответствии с иными требованиями законодательства РФ и нормативными документами Общества.
5. Состав Субъектов обрабатываемых персональных данных.
5.1. Обработке Оператором подлежат ПДн следующих Субъектов:
- работники Оператора, состоящие в трудовых отношениях с Оператором;
- кандидаты на замещение вакантных должностей Оператора;
- физические лица, являющиеся стороной сделок с Оператором или их представителями, работниками контрагентов Оператора;
- физические лица, являющиеся пользователями Интернет-сайта Оператора;
- физические лица, осуществляющие платежи с использованием Интернет-сайта Оператора;
- физические лица, являющиеся субъектами информационных сюжетов, рассылок и иных материалов Оператора;
- физические лица, в отношении которых в соответствии с положениями федерального закона персональные данные являются общедоступными, подлежат обязательному раскрытию или опубликованию, подлежат внесению в общедоступные государственные реестры или информационные системы;
- физические лица, являющиеся учредителями, членами органов управления, контрольных органов Оператора, включая и самого Оператора;
- благополучатели Оператора;
- физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
5.2. В случаях, предусмотренных действующим законодательством, Субъект принимает решение о предоставлении его ПДн Оператору и даёт согласие на их обработку свободно, своей волей и в своём интересе.
5.3. Оператор обеспечивает соответствие содержания и объёма обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
5.4. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в учреждении не осуществляется.
6. Источники получения ПДн
6.1. Источниками получения ПДн, обрабатываемых Оператором, являются:
- непосредственно Субъекты (в том числе работники Оператора, кандидаты на замещение вакантных должностей, члены органов управления и контрольных органов Оператора, посетители, контрагенты, физические лица, предоставившие информацию Оператору на основании закона, указанного в подп. 3.1.10 Политики, пользователи Интернет-сайтов Оператора);
- Федеральная налоговая служба РФ, иные государственные органы и уполномоченные организации в случаях, предусмотренных действующим законодательством РФ;
- средства массовой информации;
- лица, являющиеся источниками в соответствии с законом, указанным в подп. 3.1.10 Политики;
- контрагенты (стороны сделок) Оператора;
- лица, входящие в группу лиц Оператора;
- иные лица, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона, указанного в подп. 3.1.2 Политики.
7. Обработка ПДн и её прекращение
7.1. Обработка ПДн осуществляется Оператором следующими способами:
7.1.1. неавтоматизированная обработка ПДн;
7.1.2. автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
7.1.3. смешанная обработка ПДн.
7.2. Обработка ПДн прекращается Оператором в следующих случаях:
7.2.1. достижение цели обработки ПДн;
7.2.2. изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки ПДн;
7.2.3. выявление неправомерной обработки ПДн, осуществляемой Оператором;
7.2.4. отзыв Субъектом согласия на обработку его ПДн, если в соответствии с положениями закона, указанного в подп. 3.1.2 Политики, обработка этих ПДн допускается только с согласия Субъекта.
8. Обеспечение защиты ПДн при их обработке Оператором
8.1. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом, указанным в подп. 3.1.2 Политики и принятыми в соответствии с ним нормативными правовыми актами.
8.2. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом, указанным в подп. 3.1.2 Политики, и нормативно-правовыми актами, указанными в подпунктах 3.1.4, 3.1.5 и 3.1.7 Политики, а также другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.
8.3. К мерам, упомянутым в п. 8.2 Политики, относятся:
– издание Оператором документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
– осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн закону, указанному в подп. 3.1.2 Политики, и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам Оператора;
– определение оценки вреда, который может быть причинён Субъектам в случае нарушения закона, указанного в подп. 3.1.2 Политики, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным законом;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных сотрудников.
8.4. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
9. Право Субъекта ПДн на доступ к его ПДн
9.1. Субъект вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.2. Сведения предоставляются Субъекту ПДн или его представителю оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись Субъекта или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.3. Оператор вправе отказать Субъекту в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
9.4. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки ПДн Оператором;
– правовые основания и цели обработки ПДн;
– цели и применяемые Оператором способы обработки ПДн;
– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
– обрабатываемые ПДн, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки ПДн, в том числе сроки их хранения;
–порядок осуществления Субъектом ПДн прав, предусмотренных законом, указанным в подп. 3.1.2 Политики;
– информацию об осуществлённой или о предполагаемой трансграничной передаче ПДн;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу.
9.5. Если Субъект считает, что оператор осуществляет обработку его ПДн с нарушением требований закона, указанного в подп. 3.1.2 Политики, или иным образом нарушает его права и свободы, Субъект ПДн вправе обжаловать действия или бездействие Оператора в орган, уполномоченный по вопросам защиты прав субъектов ПДн, или в судебном порядке.
9.6. Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. Информация об Операторе
Благотворительный фонд «Наша Память»
ОГРН 1094700001769
ИНН 4704082254
КПП 470401001
Юридический адрес: 188838, Ленинградская область, Выборгский район, поселок Ильичево, улица Нагорная, д. 13 Б