1. Общие положения
1.1. Настоящее Положение об обработке персональных данных (далее- Положение) разработано и применяется Благотворительным Фондом «Апрель» (далее- Оператор) в соответствии с требованиями нормативных правовых актов, действующих на территории Российской Федерации в области обработки персональных данных и обеспечения информационной безопасности, в частности:
• Конституцией РФ;
• Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ;
• Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;
• Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.2. Настоящее Положение является локальным актом Оператора.
1.3. Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
1.4. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
2. Основные термины и определения
2.1. Для целей настоящего Положения используются следующие основные термины и их определения (ст. 3 Федерального закона № 152-ФЗ):
Персональные данные — любая информация, относящаяся прямо или косвенно к субъекту персональных данных.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Благотворительный фонд является оператором персональных данных.
Обработка персональных данных работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных — действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.
Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
3. Состав персональных данных
3.1. К персональным данным субъекта относятся следующие сведения:
• фамилия, имя, отчество;
• дата и место рождения;
• пол (мужской, женский);
• адрес регистрации и места жительства;
• гражданство;
• контактный телефон;
• адрес электронной почты;
• семейное положение;
• фамилия, имя, отчество ближайших родственников, степень родства;
• номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• идентификационный номер налогоплательщика;
• страховой номер страхового свидетельства обязательного пенсионного страхования;
• номер страхового полиса обязательного медицинского страхования;
• сведения о наличии (отсутствии) судимости;
• сведения о воинском учете;
• сведения о социальных льготах;
• сведения об образовании и документа об образовании;
• сведения о наличие ученых званий (степеней), даты их присвоения;
• сведения о занимаемой должности;
• сведения о предыдущих местах работы;
• сведения об отпусках, командировках;
• сведения о доходах;
• реквизиты банковского счета (наименование банка, номер расчетного счета, номер корреспондентского счета);
• фотоизображения;
• аккаунт в соцсетях.
3.2. Все персональные сведения о субъектах оператор персональных данных может получить только от них самих.
Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором.
3.3. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей.
Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.
3.4. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
3.5. Персональные данные субъектов являются конфиденциальной информацией и не могут быть использованы оператором персональных данных или любым иным лицом в личных целях.
3.6. При определении объема и содержания персональных данных субъектов оператор персональных данных руководствуется настоящим Положением, Конституцией РФ, иными федеральными законами.
3.7. Оператор персональных данных разрабатывает меры защиты персональных данных субъектов.
4. Хранение, обработка и передача персональных данных субъектов
4.1. Обработка персональных данных субъектов осуществляется исключительно в целях:
• обеспечения соблюдения законов и иных нормативных правовых актов;
• осуществление деятельности в соответствии с уставом оператора;
• ведение кадрового делопроизводства;
• содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
• привлечение и отбор кандидатов на работу у оператора;
• организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
• осуществление гражданско-правовых отношений;
• ведение бухгалтерского учета;
• заключение договоров о благотворительной помощи с субъектом персональных данных;
• реализация программ, проектов, мероприятий в рамках уставной деятельности
Благотворительного фонда «Апрель»;
• организация сбора пожертвований;
• составление и распространение отчетов об использовании пожертвований, а также о работе Благотворительного фонда «Апрель»;
• ведение базы волонтеров Благотворительного фонда «Апрель».
4.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
4.3. Обработка персональных данных ограничивается достижением конкретных целей, установленных настоящим Положением.
4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
4.6. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
4.7. Согласие субъекта персональных данных на использование его персональных данных хранится у оператора в бумажном и электронном виде.
При хранении персональных данных субъектов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
К обработке персональных данных субъектов имеют доступ только работники оператора, допущенные к работе с персональными данными субъектов и подписавшие соглашение о неразглашении персональных данных субъектов.
Перечень работников оператора, имеющих доступ к персональным данным субъектов, утверждается приказом руководителя оператора.
4.8. Обработка персональных данных оператором осуществляется как неавтоматизированным, так и автоматизированным способом.
4.9. Оператор вправе передавать персональные данные субъектов третьим лицам, только если это необходимо в целях, определенных настоящим Положением, предупреждения угрозы их жизни и здоровью, а также в случаях, установленных законодательством.
4.10. При передаче персональных данных субъектов оператор предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц письменного подтверждения соблюдения этого условия.
4.11. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных субъектов, определяются должностными инструкциями.
4.12. Хранение, обработка и передача персональных данных производится в соответствии с действующим законодательством.
5. Хранение персональных данных
5.1. Хранение персональных данных обеспечивается должностным лицом, ответственным за организацию процесса обработки персональных данных, в ведении которого находится места хранения.
5.2. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
5.3. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.
5.4. Персональные данные хранятся на бумажных и электронных носителях в местах хранения, доступ к которым ограничен, хранение также реализуется дополнительными требованиями, определяемыми методическими документами Федеральной службы безопасности России.
6. Защита персональных данных
6.1. Под защитой персональных данных работников понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
6.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.3. Обеспечение безопасности персональных данных достигается, в частности:
— определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
— применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учетом машинных носителей персональных данных;
— обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
— контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.4. Оператор обеспечивает субъектам свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.
6.5. Оператор по требованию субъектов предоставляет им полную информацию о их персональных данных и обработке этих данных.
6.6. При заключении договоров с аудиторскими, бухгалтерскими и иными организациями, сотрудники которых получают доступ к персональным данным, в договор вносится условие о неразглашении представителями указанных организаций персональных данных, к которым им был предоставлен доступ.
7. Права субъектов на защиту их персональных данных
7.1. Субъекты в целях обеспечения защиты своих персональных данных, хранящихся у оператора, вправе:
— получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
— определять своих представителей для защиты своих персональных данных;
— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего Положения и законодательства Российской Федерации.
При отказе оператора исключить или исправить персональные данные субъектов, субъекты вправе заявить оператору в письменном виде о своем несогласии с соответствующим обоснованием;
— требовать от оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъектов, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.2. Если субъекты считают, что оператор осуществляет обработку их персональных данных с нарушением требований Федерального закона или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8. Блокировка, обезличивание, уничтожение персональных данных
8.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта, оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этим субъектам персональных данных, с момента такого обращения на период проверки.
8.2. В случае выявления неточных персональных данных при обращении субъектов оператор осуществляет блокирование персональных данных, относящихся к этим субъектам, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъектов или третьих лиц.
8.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектами, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.4. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
8.5. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
8.6. Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъектов персональных данных.
8.7. В случае достижения цели обработки персональных данных оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
8.8. В случае отзыва субъектами согласия на обработку их персональных данных оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
8.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.4-8.8 настоящего Положения, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9. Ответственность за нарушение норм, регулирующих обработку персональных данных
9.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленным федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
9.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.
10. Заключительные положения
10.1. Настоящее Положение вступает в силу с момента его утверждения.
10.2. Оператор персональных данных обеспечивает неограниченный доступ к настоящему документу.
10.3. Настоящее Положение действует в отношении всей информации, которую оператор персональных данных может получить о субъекте персональных данных.