- ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – Политика) в Благотворительном Фонде «Звезды детям» (ИНН 7841023400, ОГРН 1157800002282, адрес места нахождения ул. Артиллерийская, д. 1, литер А, офис 640, г. Санкт-Петербург, 191014) (далее – Фонд) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- Настоящая Политика определяет порядок обработки и меры по обеспечению безопасности персональных данных работников Фонда, посетителей сайта Фонда, контрагентов и иных взаимодействующих с Фондом физических лиц с целью обеспечения защиты прав и свобод человека и гражданина при обработке их персональных данных.
- В настоящей Политике используются следующие основные понятия:
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (субъекту персональных данных);
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Фонда.
- ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка персональных данных Фондом осуществляется на основании следующих принципов:
- законности;
- ограничения достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором;
- уничтожения либо обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка Фондом персональных данных осуществляется в следующих целях:
- обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
- осуществление своей деятельности в соответствии с уставом Фонда, исполнение обязанностей, предусмотренных Трудовым кодексом Российской Федерации;
- ведение кадрового делопроизводства, привлечение и отбор кандидатов для работы в Фонде;
- оказание содействия работникам в получении образования и продвижении по службе, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
- привлечение и отбор кандидатов на работу у Фонда;
- организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- осуществление гражданско-правовых отношений;
- ведение бухгалтерского учета;
- осуществление пропускного режима.
- ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Основаниями обработки персональных данных Оператором являются:
4.1.1. согласие Субъекта персональных данных на обработку его персональных данных. Согласие может быть получено в любой форме, позволяющей подтвердить факт его получения, однако письменное согласие необходимо:
4.1.1.1. на трансграничную передачу данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
4.1.1.2. на принятие решения, порождающего юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающее его права и законные интересы на основании исключительно автоматизированной обработки его персональных данных;
4.1.1.3. в случаях, установленных ТК РФ.
4.1.2. договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;
4.1.3. необходимость достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
4.1.4. необходимость защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;
4.1.5. необходимость осуществления прав и законных интересов Оператора или третьих лиц либо достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;
4.1.6. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ № 152, при условии обязательного обезличивания персональных данных;
4.1.7. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных либо по его просьбе (далее - «персональные данные, сделанные общедоступными Субъектом персональных данных»);
4.1.8. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.2. Источниками получения персональных данных Субъектов персональных данных являются:
4.2.1. информация, документы, содержащие персональные данные, предоставленные Оператору самим Субъектом персональных данных;
4.2.2. информация, документы, содержащие персональные данные, полученные от третьих лиц, осуществляющих обработку персональных данных на законных основаниях, в том числе от родственников Субъектов, государственных органов, других организаций, индивидуальных предпринимателей, физических лиц;
4.2.3. информация, содержащая персональные данные, полученная из общедоступных источников персональных данных и источников, в которых персональные данные сделаны общедоступными самим Субъектом персональных данных, в том числе:
1) страницы в социальных сетях в сети Интернет (ВКонтакте, Instagram и т.п.);
2) порталы для поиска работы, где Субъекты самостоятельно размещают свои резюме;
3) другие общедоступные источники персональных данных;
4.2.4. информация, документы, содержащие персональные данные и созданные/полученные в процессе выполнения трудовых и гражданско-правовых договоров, заключенных между Субъектами персональных данных и Оператором, а также в ходе осуществления иного взаимодействия между Оператором и Субъектами, в том числе записи систем видеонаблюдения (видеосъемки);
4.2.5. иные законные источники, правовые основания получения персональных данных.
- ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, которые указаны в разделе 3 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- Фонд может обрабатывать персональные данные следующих категорий субъектов персональных данных.
- Кандидаты для приема на работу в Фонде:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- контактные данные (номер мобильного и (или) домашнего телефона, адрес электронной почты, при необходимости – учетная запись в системе Skype или иных подобных системах);
- сведения об образовании, опыте работы, квалификации;
- иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
- Работники и бывшие работники Фонда:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- изображение (фотография);
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе о наличии поощрений, награждений и (или) дисциплинарных взысканий;
- данные о регистрации брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения об удержании алиментов;
- сведения о доходе с предыдущего места работы;
- банковские реквизиты;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
- Члены семьи работников Фонда:
- фамилия, имя, отчество;
- степень родства;
- год рождения;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
- Контрагенты Фонда (физические лица):
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- контактные данные;
- замещаемая должность;
- индивидуальный номер налогоплательщика;
- банковские реквизиты;
- иные персональные данные, предоставляемые контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
- Представители (работники) контрагентов – юридических лиц Фонда:
- фамилия, имя, отчество;
- паспортные данные;
- контактные данные;
- замещаемая должность;
- иные персональные данные, предоставляемые представителями (работниками) контрагентов, необходимые для заключения и исполнения договоров.
- Подопечные Фонда и их родители:
- фамилия, имя, отчество родителей подопечных;
- фамилия, имя, отчество детей – подопечных;
- возраст подопечных;
- дата и место рождения подопечных;
- заболевание подопечных;
- контактные данные подопечных и их родителей;
- паспортные данные подопечных и их родителей;
- адрес регистрации по месту жительства и адрес пребывания подопечных и их родителей;
- банковские реквизиты родителей подопечных;
- сведения об образовательном учреждении подопечного;
- фотографии подопечных.
- Обработка Фондом биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
- Фондом не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, за исключением случаев, предусмотренных законодательством РФ.
- ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Субъект персональных данных имеет следующие права:
- получать полную информацию, которая касается обработки в Фонде его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- требовать исправления неверных или неполных персональных данных;
- требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными;
- отозвать согласие на обработку своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
- МЕРЫ, ПРИНИМАЕМЫЕ ФОНДОМ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Для обеспечения безопасности персональных данных при их обработке Фонд принимает меры по защите от несанкционированного или случайного неправомерного доступа, уничтожения, изменения, блокирования, копирования и иных действий, которые могут нарушить установленные для персональных данных характеристики безопасности, к которым относятся:
- конфиденциальность (требование не передавать информацию третьим лицам без согласия ее обладателя, обязательное для выполнения лицом, получившим доступ к информации);
- целостность (состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право);
- доступность (состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно).
7.2. Фонд принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
7.2.1. определяет угрозы безопасности персональных данных при их обработке;
7.2.2. принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
7.2.3. назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях Фонда, ограничивает права доступа к запираемым помещениям и шкафам, где находятся персональные данные на бумажных носителях;
7.2.4. создает необходимые условия для работы с персональными данными;
7.2.5. организует учет документов, содержащих персональные данные;
7.2.6. организует работу с информационными системами, в которых обрабатываются персональные данные;
7.2.7. хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
7.2.8. устанавливает индивидуальные пароли для доступа работников в информационные системы, содержащие персональные данные, в соответствии с их производственными обязанностями;
7.2.9. организует обучение работников Фонда, осуществляющих обработку персональных данных.
- ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Обработка персональных данных осуществляется Фондом в соответствии с требованиями законодательства Российской Федерации.
- Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
- Фонд осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
- К обработке персональных данных допускаются работники Фонда, в должностные обязанности которых входит обработка персональных данных.
- Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных из общедоступных источников;
- внесения персональных данных в журналы, реестры и информационные системы Фонда;
- использования иных способов обработки персональных данных.
- Фонд в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
- Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
- Фонд осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Фонд обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
- При обработке персональных данных в Фонде обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Фонд принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.
- АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
- Подтверждение факта обработки персональных данных Фондом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Фондом субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Фондом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Фондом;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) субъекта персональных данных в соответствии с требованиями Закона о персональных данных не отражены все необходимые сведения, или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
- Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
- В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу, или по запросу Роскомнадзора Фонд осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Фонд на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
- В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя Фонд осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
- При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем, или поручителем по которому является субъект персональных данных;
- Фонд не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Фондом и субъектом персональных данных.
- Уничтожение персональных данных, содержащихся на бумажных документах, происходит с помощью шредера, персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.