1. Общие положения
Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. (далее – Закон о персональных данных).
Политика регулирует деятельность Благотворительного фонда помощи детям Донбасса (далее – Фонд, Оператор) по обработке персональных данных, предоставленных физическими лицами - субъектами персональных данных (далее - Субъектами) в любой, не противоречащей действующему российскому законодательству, форме, в том числе посредством сайта в сети Интернет по адресу «детям-донбасса.рф» (далее – Сайт), в том числе посредством направления информации на адреса электронной почты, размещенные на Сайте.
Политика определяет подход Фонда к обработке и защите персональных данных и действует в отношении всей информации, содержащей персональные данные, которая стала доступна Фонду. Политика является открытым и общедоступным документом.
Фонд придерживается принципов обеспечения безопасности персональных данных Субъектов с целью защиты их прав и свобод, а также соблюдения требований российского и международного законодательства.
Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Фонда и действует до ее отмены или изменения российского законодательства.
Все изменения в Политику вносятся приказом Генерального директора Фонда.
2. Субъекты, объем и цели обработки персональных данных
В случаях и в порядке, предусмотренных Законом о персональных данных, Фонд осуществляет обработку персональных данных работников Фонда, членов органов его управления и надзора и других субъектов персональных данных.
Обработка Фондом персональных данных (в зависимости от категории субъекта персональных данных) может осуществляться в следующих целях: для принятия решения о возможности и законности заключения трудового договора; для заключения трудового договора, выполнения работником его служебных обязанностей; выплаты заработной платы; предоставления льгот и выплат, предусмотренных трудовым и налоговым законодательством; сдачи и публикации отчетности в соответствии с законодательством РФ; формирования данных о Фонде в ЕГРЮЛ, других федеральных ресурсах; выполнения функций управления или надзора; заключения договоров в уставных целях Фонда; поручения представительских функций; оказания Фондом помощи и защиты; осуществления Фондом уставной деятельности; защиты законных интересов Фонда и выполнения требований законодательства РФ.
В зависимости от категории субъекта персональных данных и цели обработки Фонд обрабатывает следующие персональные данные: фамилия, имя, отчество; пол; возраст; дата и место рождения; паспортные данные; адрес регистрации; адрес проживания; номера контактных телефонов, адреса электронной почты и/или сведения о других способах связи; данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации, знания иностранных языков; сведения о наличии ученой степени, звания; сведения о публикациях, научной, образовательной, литературной /публицистической деятельности; сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы (в объеме справки 182-н, справки 2-НДФЛ); номер страхового свидетельства государственного пенсионного страхования; ИНН; сведения о воинском учете; семейное положение, сведения о составе семьи; сведения о состоянии здоровья, включая результаты медицинских осмотров и медицинских заключений (в случае если такие сведения являются обязательным критерием для заключения трудового договора и продолжения работы); сведения о реквизитах банковской карты; другие персональные данные, если их обработка требуется нормами действующего российского законодательства.
3. Правовые основания обработки персональных данных
Фонд осуществляет обработку персональных данных на основании и в соответствии со следующими нормативными актами Российской Федерации:
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект, заключение договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
- необходимость обработки персональных данных для осуществления прав и законных интересов Оператора или третьих лиц;
- согласие Субъекта на обработку его персональных данных;
- необходимость обработки персональных данных для выполнения обязанностей, возложенных на Оператора законодательством Российской Федерации.
В целях реализации Политики могут приниматься локальные нормативные акты Фонда. Порядок обработки персональных данных сотрудников Фонда может регулироваться отдельным Положением.
4. Основные понятия
Основные понятия, используемые в Политике:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования.
Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия Субъекта, если иное не предусмотрено федеральным законом;
- биометрические персональные данные- сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
5. Права Субъектов персональных данных
Субъект при личном обращении в Фонд или путем направления письменного запроса на почтовый адрес Фонда (194100, г. Санкт-Петербург, вн.тер.г. муниципальный округ Сампсониевское, пр-кт Большой Сампсониевский, д. 68 литера Н, помещ. 2Н, часть 126), или на адрес электронной почты (bf-detidonbassa@mksmail.ru) имеет право получить подробную информацию касательно обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование Фонда, его место нахождения и адрес, сведения о лицах (за исключением штатных работников Фонда), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;
- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту, источник их получения;
- сроки обработки, в том числе сроки хранения персональных данных;
- порядок осуществления Субъектом прав, предусмотренных федеральным законом;
- информацию об осуществленной или предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Фонда, если обработка поручена или будет поручена такому лицу.
После получения запроса Субъекта на получение информации, касающейся обработки его персональных данных, Фонд обязуется рассмотреть такой запрос и направить ответ в течение тридцати календарных дней с даты получения запроса.
Субъект вправе требовать устранения нарушений законодательства, допущенных при обработке персональных данных, уточнения своих персональных данных, их блокирования или уничтожения в случае, если, по мнению Субъекта, данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Также Субъект имеет право отозвать свое согласие на обработку персональных данных путем направления письменного запроса на почтовый адрес Фонда (194100, г. Санкт-Петербург, вн.тер.г. муниципальный округ Сампсониевское, пр-кт Большой Сампсониевский, д. 68 литера Н, помещ. 2Н, часть 126), или на адрес электронной почты (bf-detidonbassa@mksmail.ru).
6. Права и обязанности Фонда (Оператора):
Оператор вправе:
- поручать обработку персональных данных другим лицам с согласия Субъекта, если иное не предусмотрено федеральным законом;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
- в случае отзыва Субъектом согласия на обработку персональных данных продолжить обработку персональных данных без согласия Субъекта при наличии оснований, указанных в Законе о персональных данных.
Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
- не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта, если иное не предусмотрено законодательством;
- принимать меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных, в том числе по обеспечению безопасности персональных данных при их обработке;
- предоставлять необходимую информацию об обработке персональных данных при обращении Субъекта либо при получении запроса Субъекта или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных в соответствии с требованиями Закона о персональных данных;
- устранять нарушения законодательства, допущенные при обработке персональных данных, уточнять, блокировать и уничтожать персональные данные в случаях, установленных законодательством о персональных данных;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7. Порядок и условия обработки персональных данных
Обработка Фондом персональных данных допускаются только после получения согласия на обработку от Субъекта либо его представителя, а также без получения такого согласия в случаях, предусмотренных законодательством Российской Федерации. Во всех случаях обработки персональных данных Субъектов Фонд руководствуется положениями действующего законодательства, Политики и локальных нормативных актов Фонда.
Для распространения персональных данных Субъекта Фонд должен получить его письменное согласие на распространение отдельно от иных согласий Субъекта на обработку его персональных данных. Содержание такого согласия должно соответствовать требованиям, установленным действующим российским законодательством. Оператор обязан обеспечить Субъекту возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных Субъектом для распространения. Субъект вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
В некоторых случаях Оператор может обрабатывать специальные категории персональных данных и биометрические персональные данные. Такая обработка осуществляется в соответствии с Законом о персональных данных.
Фонд может осуществлять трансграничную передачу персональных данных в соответствии с положениями действующего законодательства Российской Федерации.
Органы государственной власти Российской Федерации, министерства и ведомства могут получить доступ к обрабатываемым персональным данным исключительно в случаях и в порядке, установленном законодательством Российской Федерации.
Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора и с согласия Субъекта, если иное не предусмотрено федеральным законом.
Лица, осуществляющие обработку персональных данных по поручению Оператора, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, а также принимать меры по защите персональных данных и соблюдать иные правила обработки персональных данных, установленные настоящей Политикой и соответствующим договором.
В соответствии с Законом о персональных данных при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
8. Способы и сроки обработки персональных данных
Фонд осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Фонд осуществляет смешанную обработку персональных данных (с использованием и без использования средств автоматизации). Полученная в ходе обработки персональных данных информация передается по внутренней сети Оператора, а также с использованием сети Интернет.
Срок обработки персональных данных не может превышать срок, обусловленный целями обработки персональных данных, указанными в Политике. Условием прекращения обработки персональных данных является также истечение срока действия согласия или отзыв согласия Субъекта на обработку его персональных данных (если действующее законодательство не предусматривает право Оператора обрабатывать персональные данные в отсутствие согласия), а также выявление неправомерной обработки персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда иной срок хранения персональных данных установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект.
При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать законодательство Российской Федерации.
Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку; при достижении максимальных сроков хранения документов, содержащих персональные данные; при достижении цели обработки персональных данных, а также в случае если Фонд не вправе обрабатывать персональные данные без согласия субъекта на основаниях, предусмотренных федеральными законами, если иное не предусмотрено действующим законодательством РФ или договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить уничтожаются в сроки, установленные действующим законодательством РФ.
Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9. Обеспечение безопасности персональных данных
Безопасность персональных данных, обрабатываемых Фондом, обеспечивается:
- назначением ответственных лиц (ответственного лица) за организацию обработки персональных данных, за обеспечение безопасности персональных данных;
- утверждением перечня лиц, допущенных к обработке персональных данных;
- утверждением локальных актов по вопросам обработки персональных данных, выявлению и предотвращению нарушений законодательства Российской Федерации в сфере персональных данных и устранению таких нарушений;
- обособлением персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в том числе хранением их в специально оборудованных помещениях;
- обеспечением раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
- хранением персональных данных в электронном виде в информационных системах, а также в архивных копиях баз данных этих систем, с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- наличием запрета на передачу персональных данных по открытым каналам связи и сетям Интернет без применения мер по обеспечению безопасности персональных данных;
- наличием внутреннего контроля соответствия обработки персональных данных законодательству о персональных данных и локальным актам Фонда;
- ознакомлением сотрудников Фонда с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных) и локальными актами Фонда по вопросам обработки персональных данных;
- ведением учета машинных носителей персональных данных;
- определением угрозы безопасности персональных данных при их обработке в информационных системах персональных данных и применением средств защиты информации в случаях, установленных законодательством;
- выявлением фактов несанкционированного доступа к персональным данным и принятием необходимых мер для соблюдения требований законодательства и пресечения несанкционированного доступа к персональным данным;
- организацией режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
При обработке персональных данных Фонд принимает предусмотренные ст. 19 ФЗ «О персональных данных» правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10. Контакты и реквизиты Фонда
Наименование: Благотворительный фонд помощи детям Донбасса
Юридический адрес и адрес для корреспонденции: 194100, г. Санкт-Петербург, вн.тер.г. муниципальный округ Сампсониевское, пр-кт Большой Сампсониевский, д. 68 литера Н, помещ. 2Н, часть 126.
Адрес электронной почты: bf-detidonbassa@mksmail.ru