Утверждена
Приказом
Директора БФ «Апрель»
№ б/н от 10 января 2023г.
1. Общие положения
Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) разработана и действует в Благотворительном Фонде «Апрель» ИНН 7839017230, ОГРН 1077800029350 191014, место нахождения: Санкт-Петербург, ул. Некрасова, дом 60, кв.60 (далее – Оператор, Фонд) с целью детального описания подхода Фонда к обработке персональных данных, которые она собирает, хранит и обрабатывает иными способами, а также обеспечению безопасности персональных данных.
Политика определяет цели и общие принципы обработки персональных данных, а также реализуемые Оператором меры защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Политика является локальным общедоступным документом Оператора и предусматривает возможность ознакомления с ней неограниченного круга лиц путем размещения Политики на сайте Оператора https://april-deti.ru.
Политика вступает в силу с момента утверждения Директором Фонда и действует бессрочно до ее отмены или замены новой редакцией документа. Оператор вправе изменять (обновлять) настоящую Политику в случае изменения требований законодательства или по мере необходимости. В случае изменения настоящей Политики Оператор размещает новую редакцию Политики на своей сайте. Продолжая пользоваться сайтом Оператора, средствами обмена информацией на сайте или страницами Оператора в социальных сетях, субъект персональных данных тем самым подтверждает свое согласие на обработку его персональных данных с учетом внесенных в Политику изменений.
В Политике используются термины и определения в тех значениях, как они определены в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» и иных нормативных правовых актах:
Персональные данные — любая информация, относящаяся прямо или косвенно к субъекту персональных данных.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Благотворительный фонд является оператором персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных лиц и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу.
Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, которые определяются уставными документами Оператора, фактически осуществляемой Оператором деятельностью, конкретными взаимоотношениями между Оператором и субъектом персональных данных. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.
Фонд не обрабатывает Специальные категории персональных данных без согласия субъекта персональных данных в установленных законом случаях. Фонд не обрабатывает биометрические персональные данные. Фонд не осуществляет Трансграничную передачу персональных данных Субъектов. Трансграничная передача Персональных данных на территории иностранных государств, может осуществляться только в случае наличия согласия в письменной форме Субъекта персональных данных на Трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является Субъект персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
2. Правовые основания обработки персональных данных
Обработка персональных данных осуществляется Оператором на законной и справедливой основе в соответствии с требованиями следующих нормативных правовых актов, действующих на территории Российской Федерации в области обработки персональных данных и обеспечения информационной безопасности, и документов:
• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 12.01.1996 №7-ФЗ «О некоммерческих организациях»;
• Федеральный закон от 11.08.1995 №135-ФЗ «О благотворительный деятельности и добровольчестве (волонтерстве)»;
• Федеральный закон «О бухгалтерском учете»;
• Постановление Правительства «Об утверждении Положения о воинском учете»;
• Федеральный закон «Об обязательном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон «Об обязательном пенсионном страховании в Российской
Федерации»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;
• Устав Благотворительного фонда «Апрель»;
• Благотворительные программы и проекты БФ «Апрель».
3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Содержание и объем обрабатываемых персональных данных соответствует целям обработки и определяется характером отношений между Оператором и субъектом персональных данных.
№ 1:
Цель обработки данных: Ведение кадрового и бухгалтерского учета
Персональные данные — фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер лицевого счета; профессия; сведения о
трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фотоизображение.
Категории субъектов, персональные данные которых обрабатываются:
Работники; Родственники работников; Уволенные работники;
Перечень действий:
сбор; запись; накопление; хранение; уточнение (обновление, изменение); распространение, извлечение; передача (предоставление, доступ); использование; удаление; уничтожение
Способы обработки:
автоматизированная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
Правовое основание обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
№ 2:
Цель обработки данных: подготовка, заключение и исполнение гражданско-правового договора
Персональные данные:
фамилия, имя, отчество; адрес места жительства; адрес регистрации; номер телефона; ИНН; адрес электронной почты, гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер лицевого счета; профессия, сведения об образовании.
Категории субъектов, персональные данные которых обрабатываются:
физические лица, состоящие с БФ «Апрель» в гражданско-правовых отношениях, предметом которых являются возмездное выполнение работ/оказание услуг
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); распространение, извлечение; передача (предоставление, доступ); использование; удаление; уничтожение.
Способы обработки:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет.
Правовое основание обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
№3:
Цель обработки данных: Обеспечение соблюдения налогового законодательства РФ
Персональные данные фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; семейное положение; доходы; пол; адрес места жительства; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность за пределами
Российской Федерации; профессия.
Категории субъектов, персональные данные которых обрабатываются:
Работники; физические лица, состоящие с БФ «Апрель» в гражданско-правовых отношениях, предметом которых являются возмездное выполнение работ/оказание услуг
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; передача (предоставление, доступ); уничтожение
Способы обработки: смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет.
Правовое основание обработки персональных данных:
Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
№4
Цель обработки данных: Подбор персонала (соискателей) на вакантные должности оператора
Персональные данные
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; данные документа, удостоверяющего личность; гражданство, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета
организации); сведения об образовании; профессия.
Категории субъектов, персональные данные которых обрабатываются: Соискатели;
Перечень действий:
сбор; систематизация; накопление; хранение; использование; уничтожение
Способы обработки: смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
Правовое основание обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
№ 5:
Цель обработки данных: Обеспечение соблюдения пенсионного законодательства РФ
Персональные данные:
фамилия, имя, отчество; дата рождения; доходы; пол; адрес места жительства; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
Категории субъектов, персональные данные которых обрабатываются:
Работники; физические лица, состоящие с БФ «Апрель» в гражданско-правовых отношениях, предметом которых являются возмездное выполнение работ/оказание услуг.
Перечень действий:
сбор; систематизация; хранение; уточнение (обновление, изменение); использование; передача (предоставление, доступ); уничтожение
Способы обработки:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
Правовое основание обработки персональных данных:
Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Федеральный закон Об обязательном (персонифицированном) учете в системе обязательного пенсионного страхования»,
Федеральный закон «Об обязательном пенсионном страховании в Российской Федерации».
№ 6:
Цель обработки данных: Подготовка, заключение и исполнение договора на безвозмездную благотворительную деятельность добровольца БФ «Апрель»
Персональные данные:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; профессия, сведения об аккаунте в соцсетях, данные документа, содержащиеся в свидетельстве о рождении, сведения о состоянии здоровья; сведения о судимости.
Категории субъектов, персональные данные которых обрабатываются:
Добровольцы (волонтеры) Фонда и кандидаты в добровольцы, их законные
представители;
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Способы обработки:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
Правовое основание обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,
Федеральный закон «О благотворительной деятельности и добровольчестве (волонтерстве)»,
Устав БФ «Апрель».
Политика БФ «Апрель» в отношении обработки и хранения персональных данных.
№ 7:
Цель обработки данных: оказание благотворительной помощи в соответствии с Уставом Фонда, в том числе при заключении и исполнении договора о безвозмездной благотворительной помощи
Персональные данные
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении, профессия; должность; сведения об образовании; фотоизображение, сведения о социальных льготах, данные полиса обязательного медицинского страхования; сведения о состоянии здоровья.
Категории субъектов, персональные данные которых обрабатываются:
Благополучатели (подопечные) Фонда, имеющие право на получение благотворительной помощи в соответствии с Уставом и благотворительными программами Фонда, законные представители.
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование, передача (предоставление, доступ); блокирование; удаление; уничтожение
Способы обработки:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
Правовое основание обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,
Федеральный закон «О благотворительной деятельности и добровольчестве (волонтерстве)»,
Устав БФ «Апрель».
Политика БФ «Апрель» в отношении обработки и хранения персональных данных.
№ 8:
Цель обработки данных: Организация сбора благотворительных пожертвований в соответствии с Уставом Фонда при заключении и исполнении договора пожертвования
Персональные данные
фамилия, имя, отчество; адрес электронной почты; адрес места жительства; номер телефона; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер лицевого счета;
Категории субъектов, персональные данные которых обрабатываются:
Благотворители (жертвователи) БФ «Апрель»
Перечень действий:
сбор; запись; систематизация; накопление; хранение, извлечение; использование; передача (предоставление, доступ); удаление; уничтожение
Способы обработки:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
Правовое основание обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных,
Федеральный закон «О благотворительной деятельности и добровольчестве (волонтерстве)»,
Устав БФ «Апрель».
Политика БФ «Апрель» в отношении обработки и хранения персональных данных.
№ 9:
Цель обработки данных: осуществление функций по управлению Фондом в соответствии с Уставом Фонда, в том числе при принятии решений в рамках заседаний Координационного Совета Фонда, Попечительского Совета Фонда
Персональные данные
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; гражданство; данные документа, удостоверяющего личность;
Категории субъектов, персональные данные которых обрабатываются:
учредитель Фонда, ревизор Фонда, члены Координационного Совета Фонда, члены Попечительского Совета Фонда
Перечень действий:
сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение
Способы обработки:
смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
Правовое основание обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
Федеральный закон «О благотворительной деятельности и добровольчестве (волонтерстве)»,
Устав БФ «Апрель».
Политика БФ «Апрель» в отношении обработки и хранения персональных данных.
№ 10:
Цель обработки данных: Обеспечение функционирования и улучшение качества работы сайта Фонда
Персональные данные: фамилия, имя, отчество; адрес электронной почты, номер телефона, сведения, собираемые посредством метрических программ;
Категории субъектов, персональные данные которых обрабатываются:
посетители сайта БФ «Апрель»
Перечень действий:
сбор; запись; систематизация; накопление; хранение, уточнение (обновление, изменение), извлечение; использование; передача (предоставление, доступ); обезличивание, блокирование, удаление; уничтожение.
Способы обработки:
автоматизированная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет.
Правовое основание обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Политика БФ «Апрель» в отношении обработки и хранения персональных данных
Политика конфиденциальности интернет-сайта.
Оператор обрабатывает технические данные об использовании субъектом персональных данных сайта Оператора (автоматически передаваемые устройствами, используемыми субъектом персональных данных для заполнения соответствующих форм (полей) на сайте Оператора, в том числе в том числе IP-адрес (уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP), данные Cookie-файлов (небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта), информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц, собираемые посредством метрических программ) исключительно в целях обеспечения функционирования и безопасности сайта, а также улучшения его качества.
Сайт использует сервис веб-аналитики Яндекс Метрика, предоставляемый компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16. Собранная при помощи cookie информация не может идентифицировать пользователя сайта, однако может помочь улучшить работу сайта. Информация об использовании пользователем сайта Оператора, собранная при помощи cookie, передается Яндексу и хранится на сервере Яндекса в РФ. Яндекс обрабатывает эту информацию в интересах Оператора, в частности для оценки использования пользователями сайта, составления отчетов об активности на сайте. Яндекс обрабатывает эту информацию в порядке, установленном в Условиях использования сервиса Яндекс Метрика.
4. Порядок и условия обработки персональных данных
Оператор осуществляет обработку персональных данных смешанным способом, как с использованием средств автоматизации, так и без таковых.
Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке персональных данных без использования средств автоматизации – только на те случаи, когда такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация. Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.
Согласие на обработку персональных данных может быть дано субъектов персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено законом. Форма согласия на обработку персональных данных разрабатывается Оператором в соответствии ст. 9 Федерального закона 27.07.2006 №152-ФЗ «О персональных данных». В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей. Обработка персональных данных, разрешении субъектов персональных данных для распространения, осуществляется Оператором в строгом соответствии с требованиями ст. 10.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Форма согласия на такую обработку разрабатывается Оператором в соответствии с требованиями Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Письменное согласие не требуется, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким, в частности, относятся:
1. Назначение лица, ответственного за организацию обработки персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Оператором требований к защите персональных данных;
2. Утверждение документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3. Ограничение круга лиц, имеющих доступ к базе персональных данных;
4. Использование паролей (кодов) доступа к ПЭВМ;
5. Использование паролей доступа к базе персональных данных;
6. Использование специальных программ защиты персональных данных
(антивирусные программы);
7. Отсутствие доступа к базе персональных данных из внешней сети;
8. Оборудование помещения, в котором размещена ИС и носители персональных данных, необходимыми средствами защиты от неконтролируемого проникновения и пребывания посторонних лиц -автономной сигнализацией;
9. Сдача помещения офиса под охрану по возможности (охрана помещения в круглосуточном режиме);
10. Издание распорядительных документов и назначение лиц, ответственных за выполнение мероприятий по защите персональных данных;
11. Учет материальных носителей информации путем маркировки и занесения сведений о них в журнале учет;
12. Регистрация выдачи и возврата материальных носителей персональных
данных;
13. Идентификация и проверка прав доступа пользователя при входе в систему;
14. Регистрация начала и окончания работы с базой персональных данных с указанием данных пользователя;
15. Регистрация попыток доступа или случаев несанкционированного доступа в систему;
16. Наличие и использование средств восстановления системы защиты персональных данных, их периодическое обновление и контроль работоспособности;
17. Разработка системы персональных данных, обеспечивающей нейтрализацию предполагаемых угроз использованием методов и способов защиты персональных данных;
18. Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты. Оператором принимаются меры для обеспечения безопасности персональных данных, в том числе:
1. Определение мест хранения персональных данных (материальных носителей);
2. Определение перечня лиц, осуществляющих обработку персональных данных и имеющих к ним доступ;
3. Обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
4. Обеспечение учета материальных носителей;
5. Учет в соответствующих журналах средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их
обработку в информационных системах;
6. Исключение возможности неконтролируемого проникновения или пребывания посторонних лиц в помещении, где ведется работа с персональными данными;
7. Обеспечение сохранности носителей персональных данных и средств защиты информации. Оператор обеспечивает ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. Оператор и иные лица, получившие доступ к персональным данных, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Обеспечение безопасности персональных данных достигается, в частности:
-определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
-применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
-оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
-обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
-восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. Оператор обеспечивает субъектам свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.
Оператор по требованию субъектов предоставляет им полную информацию о их персональных данных и обработке этих данных. При заключении договоров с аудиторскими, бухгалтерскими и иными организациями, сотрудники которых получают доступ к персональным данным, в договор вносится условие о неразглашении представителями указанных организаций персональных данных, к которым им был предоставлен доступ.
5. Права субъектов персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В случаях, прямо не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъектов персональных данных. Согласие может быть выражено в форме совершения действия, свидетельствующих о согласии с условием об обработке персональных данных, в том числе, в виде принятия условий договора-оферты; продолжения переписки с оператором при наличии информации о необходимости получения согласия на обработку; проставления соответствующих отметок, заполнения полей в формах (в т.ч. электронных), бланках, или оформлено в письменной форме в соответствии с законодательством. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператора на электронную почту mail@april-deti.ru , по почте или обратившись лично. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
o Подтверждение факта обработки персональных данных Оператором;
o Правовые основания и цели обработки персональных данных;
o Цели и применяемые оператором способом обработки персональных данных;
o Наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
o Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
o Сроки обработки персональных данных, в том числе сроки их хранения;
o Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных;
o Информацию об осуществлении или о предполагаемой трансграничной передаче данных;
o Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
o Информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
o Иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152- ФЗ «О персональных данных» или другими федеральными законами. Вышеуказанные сведения предоставляются Субъекту персональных данных или его представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного
уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, требовать от оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях. При достижении целей обработки персональных данных, а также в случае отзыва субъектов персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных
данных;
Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
Иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
Любые разъяснения по интересующим вопросам, касающимся обработки персональных данных, можно получить обратившись к Фонду с помощью электронной почты mail@april-deti.ru или по адресу местонахождения Фонда. Фонд не рассматривает анонимные обращения. При получении обращения Фонд также может попросить подтвердить личность субъекта персональных данных (путем предоставления паспортных данных) до направления ответа на обращение. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. Права и обязанности Оператора
Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных. Ответственный за организацию обработки персональных данных:
Уманец Людмила Владимировна
Почтовый адрес: 191014, Санкт-Петербург, улица Некрасова, дом 60, кв.60
Контактный телефон: +7 (812) 9400608
адрес электронной почты: mail@april-deti.ru
Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и данным лицом гражданско-правового договора. На сайте Оператора или страницах Оператора в социальных сетях могут быть размещены ссылки на сторонние сайты и службы, деятельность, которых Оператор не контролирует. Оператор не несет ответственности за безопасность персональных данных, предоставленных субъектом персональных данных при переходе под данным ссылкам. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить
уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с
уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7. Обработка и хранение персональных данных
Обработка и хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки. Обработке подлежат только персональные данные, которые отвечают целям их
обработки. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Сроки обработки и хранения персональных данных могут быть определены оператором в согласиях по каждой категории субъектов персональных данных. При осуществлении хранения персональных данных Оператор персональных данных использует базы данных и центры обработки данных, находящиеся на территории Российской Федерации. Условиями прекращения обработки персональных данных Фондом являются достижение целей обработки персональных данных; истечение срока действия согласия субъекта персональных данных на обработку его персональных данных; выявление случаев неправомерной обработки персональных данных; ликвидация Фонда. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных
данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. Вышеуказанные документы могут определять, в частности:
Цели, условия, сроки обработки персональных данных;
Обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;
Права, обязанности и ответственность сторон, касающиеся обработки персональных данных.
При этом существенным условием является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от27.07.2006 N 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N152-ФЗ «О персональных данных»;.Так, для заключения и исполнения договора пожертвования при осуществлении пожертвования на сайте Фонда Оператор с согласия пользователя сайта передает персональные данные жертвователя фамилия, имя, отчество, номер телефона, адрес электронной почты, реквизиты банковской карты партнеру Фонда: ООО «КлаудПэйментс» https://cloudpayments.ru/, ОГРН 1147746077159, ИНН 7708806062, 115162, Москва, вн. тер. г. Муниципальный округ Донской, ул. Шухова, д.14, стр.11, эт.3, пом.67 для обработки с использованием средств автоматизации, включая следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение.
Оператор обязан передавать персональные данные органам дознания и предварительного следствия, иным уполномоченным органам в соответствии с их компетенцией и исключительно по основаниям, предусмотренным действующим законодательством Российской Федерации. Хранение персональных данных обеспечивается должностным лицом, ответственным за организацию процесса обработки персональных данных, в ведении которого находится места хранения.
Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации. Персональные данные хранятся на бумажных и электронных носителях в местах хранения, доступ к которым ограничен, хранение также реализуется дополнительными требованиями, определяемыми методическими документами Федеральной службы безопасности России. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках). Аудит соблюдения Оператором требований законодательства Российской Федерации и положений локальных нормативных актов Оператора организован в соответствии с Положением Оператора об аудите при обработке персональных данных. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15 , 151 , 152 , 1101 Гражданского кодекса Российской Федерации. Соотношение указанного вреда и принимаемых Оператором мер, направленных на предупреждение, недопущение и/или устранение его последствий, установлено в Положении о недопущении Оператором вреда при обработке персональных данных. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор проводит в соответствии с Положением Оператора о раскрытии информации.
8. Блокировка, обезличивание, уничтожение персональных данных
В случае выявления неправомерной обработки персональных данных при обращении субъекта, оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этим субъектам персональных данных, с момента такого обращения на период проверки.
В случае выявления неточных персональных данных при обращении субъектов оператор осуществляет блокирование персональных данных, относящихся к этим субъектам, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъектов или третьих лиц.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектами, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъектов персональных данных.
В случае достижения цели обработки персональных данных оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
В случае отзыва субъектами согласия на обработку их персональных данных оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в настоящем разделе Политики, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Уничтожение документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствамигарантированного удаления остаточной информации.
9. Ответственность за нарушение норм, регулирующих обработку персональных данных.
Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора организован в соответствии с Положением о внутреннем контроле Оператора при обработке персональных данных. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и
эффективности принятых мер. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, несут установленную законодательством материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность.
Моральный вред, причиненный лицу вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесённых лицом убытков.