Политика в отношении обработки и защиты персональных данных
в Ассоциации помощи детям “Безопасное детство”
(“Ассоциация”)
Термины и определения
Ассоциация – Ассоциация помощи детям “Безопасное детство”, являющаяся оператором обработки персональных данных по настоящей Политике (далее - Оператор).
Субъект персональных данных – работники, привлекаемые специалисты, волонтеры, благополучатели-физические лица, жертвователи.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Защита персональных данных – деятельность Оператора по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
1.Общие положения
1.1. Настоящая Политика определяет цели, содержание и порядок обработки персональных данных, а также меры, направленные на защиту персональных данных, в Ассоциации.
1.2. Настоящая Политика разработана в соответствии с:
− Конституцией Российской Федерации;
− Федеральным законом от 27 июля 2006 г. № 152-ФЗ “О персональных данных”;
− Федеральным законом от 27 июля 2006 г. № 149-ФЗ “Об информатизации, информационных технологиях и о защите информации”;
− Трудовым кодексом РФ;
− Федеральным законом от 21 ноября 2011 г. № 323-ФЗ “Об основах охраны здоровья граждан в Российской Федерации”;
− Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 “Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных”;
− Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
− другими нормативными правовыми актами, действующими на территории Российской Федерации в области обработки персональных данных и обеспечения информационной безопасности.
1.3. Оператор обеспечивает доступность ознакомления с настоящей Политикой путем ее размещения на официальном сайте Оператора в информационно-телекоммуникационной сети Интернет по адресу: https://bezopasnoedetstvo40.ru/ (далее - “Сайт”) и в ином месте, открытом для свободного доступа.
2. Условия и порядок обработки персональных данных работников (волонтеров, привлеченных специалистов)
2.1. Оператор осуществляет обработку персональных данных работников (волонтеров, привлеченных специалистов) (далее – работники), исключительно в целях обеспечения соблюдения действующего законодательства Российской Федерации, и иных нормативных правовых актов, регламентирующих выполнение договорных обязательств Ассоциации.
2.2. Оператор обрабатывает персональные данные работников в целях:
- осуществления прав и обязанностей работодателя, обучения работников, обеспечения их личной безопасности, контроля количества и качества выполняемой ими работы, обеспечения сохранности имущества, обеспечения пользования работниками установленными законодательством РФ гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;
- принятия решения о трудоустройстве;
- заключения и исполнения обязательств по трудовым договорам и договорам гражданско-правового характера;
- для участия в конкурсах на получение субсидии, гранта и иных проектах, имеющих прямое отношение к основной деятельности Оператора.
2.3. В целях, указанных в пункте 2.2. настоящей Политики, обрабатываются следующие категории персональных данных:
- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
- число, месяц, год рождения;
- место рождения;
- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, код подразделения;
- адрес места жительства (адрес регистрации, фактического проживания);
- номер контактного телефона или сведения о других способах связи;
- реквизиты страхового свидетельства государственного пенсионного страхования;
- идентификационный номер налогоплательщика;
- реквизиты свидетельства государственной регистрации актов гражданского состояния;
- сведения о трудовой деятельности;
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
- сведения об ученой степени;
- фотография и иное визуальное изображение;
- сведения о профессиональной переподготовке и (или) повышении квалификации;
- номер расчетного счета;
- иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2 настоящей Политики.
2.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников осуществляется путем:
- получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы);
- копирования и хранения оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования персональных данных в ходе кадровой работы.
2.5. В целях, указанных в пункте 2.2. настоящей Политики осуществляется хранение копий документов работников (паспорт, документы об образовании, профессиональной переподготовке, повышении квалификации, стажировки, присвоении ученой степени, ученого звания (если таковые имеются), свидетельство о заключении/расторжении брака (в случае смены фамилии), анкетные данные, в том числе, содержащие сведения об образовании, публикациях) в бумажном и электронном виде.
2.6. Персональные данные работников могут быть переданы третьим лицам в составе заявок на получение грантов и субсидий.
2.7. Передача персональных данных работников третьим лицам осуществляется при наличии информированного согласия на передачу персональных данных третьим лицам.
2.8. Обработка персональных данных работников осуществляется Оператором как с использованием средств автоматизации, так и безиспользования таких средств.
2.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных работников непосредственно от субъектов персональных данных. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Ассоциация должна сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3. Условия и порядок обработки персональных данных благополучателей в связи с предоставлением помощи (оказания услуг)
3.1. Оператор осуществляет обработку персональных данных благополучателей в целях осуществления уставной деятельности, в том числе:
- оказания благотворительной помощи;
- проведения информационно-просветительских мероприятий
3.2. В рамках предоставления помощи (оказании услуг) подлежат обработке следующие персональные данные благополучателей:
- фамилия, имя, отчество;
- возраст;
- дата рождения;
- пол;
- гражданство;
- номер телефона;
- адрес регистрации;
- адрес фактического места жительства;
- тип документа, удостоверяющего личность;
- данные документа, удостоверяющего личность;
- данные документа, подтверждающего право застрахованного на бесплатную медицинскую помощь (полис ОМС);
- данные документа, подтверждающего регистрацию застрахованного лица в системе обязательного пенсионного страхования (СНИЛС);
- сведения о состоянии здоровья и заболеваниях;
- информация об образовании;
- семейное положение;
- информация о наличии/отсутствии судимости;
- место работы.
3.3. Обработка персональных данных благополучателей, необходимых в связи с предоставлением услуг осуществляется при наличии информированного согласия на обработку персональных данных, за исключением случаев, предусмотренных действующим законодательством РФ.
3.4. В случае недееспособности благополучателя или недостижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
3.5. Получение персональных данных преимущественно осуществляется путем представления их самим благополучателем, на основании его письменного согласия.
3.6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, если они порождают юридические последствия в отношении благополучателя или иным образом затрагивают его права и законные интересы, за исключением случаев, предусмотренных федеральными законами.
3.7. Информация о персональных данных благополучателя может содержаться:
- на бумажных носителях;
- на электронных носителях;
- в информационных системах персональных данных;
- в информационно-телекоммуникационных сетях и иных информационных системах.
3.8. Обработка персональных данных благополучателей, необходимых в связи с предоставлением помощи (оказанием услуг) включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.9. В случае необходимости проверки персональных данных благополучателя Ассоциация заблаговременно должна сообщить об этом благополучателю, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа благополучателя дать письменное согласие на их получение.
3.10. Благополучатели и (или) их представители обладают правами, предусмотренными Федеральным законом от 27 июля 2006 г. № 152-ФЗ “О персональных данных” и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
3.11. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”, предоставляются благополучателю или его представителю при личном обращении либо при получении письменного запроса от них. Запрос должен содержать номер основного документа, удостоверяющего личность благополучателя или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие благополучателя в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись благополучателя или его представителя.
3.12. Ассоциация обязана предоставить безвозмездно благополучателю или его представителю возможность ознакомления с персональными данными, относящимися к благополучателю, по месту своего расположения в рабочее время.
3.13. Оператор в течение 10 рабочих дней с момента исправления или уничтожения персональных данных по требованию благополучателя или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого благополучателя были переданы.
4. Условия и порядок обработки персональных данных жертвователей
4.1. К персональным данным жертвователей, в отношении которых Оператором осуществляется сбор, обработка и защита, относятся:
- фамилия, имя;
- адрес электронной почты;
- контактный номер телефона;
- реквизиты банковского счета;
- иные персональные данные, указанные в регистрационной форме.
4.2. Оператор производит сбор, обработку и защиту персональных данных лиц после получения от данных лиц конкретного, информированного и сознательного согласия на обработку персональных данных.
Моментом выражения Согласия является:
- при использовании формы обратной связи, расположенной на Сайте Оператора – маркировка соответствующего поля в Форме и нажатие на кнопку отправки Формы на любой странице Сайта, а также нажатие на кнопку отправки электронного письма, содержащего персональные данные субъекта;
- при отправке электронного письма на адрес электронной почты, используемый Оператором, – момент отправки такого электронного письма.
4.3. Жертвователи обязуются предоставлять только достоверные данные о себе.
4.4. Согласие на обработку персональных данных выдается жертвователем на весь срок, необходимый Оператору для достижения целей обработки.
4.5. Согласие на обработку персональных данных может быть отозвано жертвователем путем направления составленного в произвольной форме письменного заявления посредством почтового отправления по юридическому адресу Оператора или с помощью отправки электронного письма на адрес электронной почты Оператора: info@bezopasnoedetstvo40.ru.
5. Организация защиты персональных данных
5.1. Соблюдение конфиденциального режима обработки, в т.ч. предоставление доступа к информационным активам Оператором, содержащим персональные данные, обеспечивается руководителем Оператора и (или) уполномоченными им работниками, в соответствии с распорядительными и нормативными документами Оператора. Внутренний доступ (доступ внутри организации) к персональным данным предоставляется только лицам, допущенным к обработке персональных данных согласно приказу Оператора.
5.2. Хранение персональных данных осуществляется в печатной и электронном форме. 5.3. Доступ к персональным данным работников Оператора осуществляется только при наличии специального разрешения в устной или письменной форме, выданного руководителем Оператора или его уполномоченными лицами.
5.4. Лица, имеющие доступ к персональным данным, подписывают обязательство о неразглашении персональных данных в письменной форме или при обеспечении доступа к пользованию персональными данными в электронной форме автоматически соглашаются с условиями пользования базами данных.
6. Общие условия хранения персональных данных
6.1. Персональные данные Контрагентов хранятся на бумажных и машинных (в электронном виде) носителях, только в помещениях, доступ к которым ограничен и регламентируется Некоммерческой организации.
6.2. При хранении бумажных носителей, соблюдаются надлежащие условия по обеспечению их сохранности (используются специально оборудованные шкафы и сейфы).
6.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки и требования законодательства.
6.4. Персональные данные, по достижении целей обработки, в случае утраты необходимости в их достижении или поступления заявления субъекта персональных данных о прекращении их обработки, если иное не предусмотрено законодательством Российской Федерации, уничтожаются.
7. Общие условия передачи персональных данных третьим лицам
7.1. Оператор при передаче персональных данных третьим лицам соблюдает следующие требования:
7.1.1. Предупреждает лиц, получающих персональные данные, об обязанности соблюдения требования конфиденциальности, а также использования только в целях, для которых они сообщены, и требует обязательности соблюдения этих правил.
7.1.2. Передает персональные данные представителям субъекта персональных данных в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
7.1.3. Сообщает персональные данные третьей стороне только при письменном согласии субъекта персональных данных или законного представителя, за исключением случаев, предусмотренных федеральными законами.
8. Обязанности Ассоциации как оператора обработки персональных данных
8.1. Ассоциация обязана по требованию субъекта персональных данных или его законного представителя предоставить ему информацию о его персональных данных и обработке этих данных.
8.2. Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- права субъекта персональных данных;
- источник получения персональных данных.
8.3. Ассоциация не обязана предоставлять субъекту персональных данных сведения, предусмотренные пунктом 8.2. настоящей Политики, если:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены на основании федерального закона или в связи с исполнением договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных законодательством;
- Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.
8.4. После получения требования от субъекта персональных данных о прекращении обработки персональных данных Оператор немедленно прекращает обработку его персональных данных.
9. Права субъектов персональных данных
9.1. Субъект персональных данных имеет право на:
- получение информации об обработке его персональных данных при подаче запроса;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Контрагента, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц;
- определение своих представителей для защиты своих интересов в части сохранения конфиденциальности персональных данных;
- исключение или исправление неверных или неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных;
- требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.
10. Порядок прекращения (уничтожения) обработки персональных данных
10.1. Прекращение (уничтожение) персональных данных производится в следующих случаях:
- выявление неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
- требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
- достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;
- истечения сроков хранения персональных данных, установленных действующим законодательством Российской Федерации;
- признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
- в иных установленных законодательством случаях.
10.2. Для выявления случаев, указанных в п. 10.1. настоящей Политики, в Ассоциации назначается ответственное лицо, которое отслеживает работу с персональными данными, выявляет случаи, когда необходимо уничтожить данные, обрабатывает запросы от сотрудников Оператора, государственных органов и субъектов персональных данных по поводу уничтожения персональных данных.
10.3. В случае необходимости уничтожения персональных данных ответственное лицо в течение 7 (семи) календарных дней с момента выявления случаев, указанных в п. 10.1. настоящей Политики, обращается к руководителю Оператора для создания комиссии по уничтожению персональных данных и принятия ей решения об уничтожении персональных данных.
10.4. Комиссия в течение 7 (семи) календарных дней с момента принятия решения о ее создании проверяет обоснованность необходимости прекращения (уничтожения) персональных данных и выносит соответствующее решение.
10.5. Решение комиссии о прекращении (уничтожении) персональных данных должно быть исполнено немедленно.
10.6. После уничтожения персональных данных составляется Акт об уничтожении персональных данных. Акт подписывается всеми членами комиссии.
10.7. После подписания Акта в журнал учета уничтожения носителей персональных данных (далее – журнал) вносится запись об их уничтожении.
11. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
11.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.
12. Заключительные положения
12.1. Настоящая Политика вступает в силу с даты утверждения руководителем Оператора.