ПОЛОЖЕНИЕ
об обработке и защите персональных данных
в Благотворительном фонде «Золотой век»
- Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных в Благотворительном фонде «Золотой Век» разработано в целях защиты персональных данных добровольцев (волонтёров), благотворителей, благополучателей, контрагентов, предоставляющих персональные данные в Благотворительный фонд «Золотой Век», от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Положение разработано в соответствии с:
— Конституцией Российской Федерации;
— Гражданским кодексом Российской Федерации;
— Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3. В Положении используются определения основных понятий, согласующихся с терминологией Федерального закона РФ «О персональных данных»:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных);
2) Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таковых. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3) Оператор — Благотворительный фонд «Золотой Век» — юридическое лицо, самостоятельно организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
4) Субъекты персональных данных:
— физические лица, с которыми заключены договоры гражданско-правового характера во исполнение целей деятельности Оператора;
— добровольцы (волонтёры);
— благотворители;
— благополучатели;
— зарегистрированные пользователи сайта Фонда;
— контрагенты.
- Состав персональных данных
— Фамилия, имя, отчество, адрес Субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— фамилия, имя, отчество, адрес представителя Субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
— наименование или фамилия, имя, отчество и адрес Оператора, получающего согласие Субъекта персональных данных;
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие Субъекта персональных данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
— срок, в течение которого действует согласие Субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
— подпись Субъекта персональных данных.
- Организация защиты персональных данных
3.1. Персональные данные Субъектов персональных данных относятся к категории конфиденциальной информации.
3.2. Соблюдение конфиденциального режима обработки, в том числе предоставление доступа к информационным активам Оператора, содержащим персональные данные Субъектов персональных данных, обеспечивается руководителем Оператора, в соответствии с локальными правовыми актами.
3.3. Защита персональных данных от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств в порядке, установленном федеральным законом.
3.4. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.5. Оператор осуществляет внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
3.6. В случае обнаружения фактов несанкционированного доступа к персональным данным Оператор незамедлительно принимает соответствующие меры, предусмотренные действующим законодательством РФ.
3.7. Доступ к персональным данным без специального разрешения имеет директор Фонда.
3.8. Лицо, имеющее доступ к персональным данным подписывает обязательство о неразглашении персональных данных.
3.9. Защите подлежат персональные данные, как на бумажном носителе, так и в электронном виде, размещённые в информационных системах Оператора.
- Основные принципы обработки, передачи и хранения персональных данных
4.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4.2. Оператор не осуществляет обработку биометрических (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) персональных данных.
4.3. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья.
4.4. Оператор не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
4.5. Оператором используются общедоступные источники персональных данных (справочник, официальный информационный сайт). Персональные данные, сообщаемые Субъектом (фамилия, имя, отчество, абонентский номер, адрес, сведения о замещаемой должности) включаются в такие источники только с письменного согласия Субъекта персональных данных.
4.6. Оператор вправе отказать в предоставлении персональных данных лицу, обратившемуся с запросом, в случаях:
— отсутствия полномочий на получение персональных данных Субъекта персональных данных;
— отсутствия письменного согласия Субъекта персональных данных на предоставление его персональных данных;
— присутствует, по мнению Оператора, угроза жизни и(или) здоровью Субъекта персональных данных.
Оператор в каждом конкретном случае самостоятельно оценивает серьёзность, неминуемость, степень такой угрозы.
Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении запрашиваемых персональных данных.
4.7. Все сведения о передаче персональных данных регистрируются в Журнале
регистрации и учёта передачи персональных данных, в целях контроля правомерности использования данной информации лицами её получившими.
4.8. Обращения Субъектов персональных данных, а также их представителей,
связанные с обработкой персональных данных, сроками, целями и обеспечением безопасности персональных данных, отражаются в Журнале регистрации и учёта обращений Субъектов персональных данных. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата об отказе в их предоставлении, а также отмечается содержание переданной информации.
- Случаи обработки персональных данных, не требующих согласия Субъекта персональных данных
5.1. Согласия Субъекта на обработку персональных данных не требуется в следующих случаях:
1) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
2) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
3) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию Субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
4) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;
5) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;
6) обработка персональных данных необходима для осуществления профессиональной деятельности и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы Субъекта персональных данных;
7) обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
8) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом, а также в иных случаях, предусмотренных законодательством Российской Федерации о защите персональных данных.
- Права Субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение сведений об обработке его
персональных данных Оператором.
6.2. Субъект персональных данных вправе требовать от Оператора уточнения, обрабатываемых Оператором персональных данных Субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничен в соответствии с федеральными законами, в том числе если:
– обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
– обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
– обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
– доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
– обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
6.4. Для реализации своих прав и защиты законных интересов Субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны Субъектов персональных данных, расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
6.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Сроки обработки (хранения) персональных данных
7.1. Течение срока обработки персональных данных начинается с момента их получения Оператором.
7.2. Оператор осуществляет хранение персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели их обработки.
7.3. Персональные данные граждан, обратившихся к Оператору в установленном порядке, хранятся в делах Оператора в течение срока, определённого законодательством и номенклатурой дел Оператора (1 год).
- Уточнение, блокирование и уничтожение персональных данных
8.1. Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.
Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию Субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав Субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
8.2. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.
Блокирование персональных данных осуществляется Оператором по требованию Субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав Субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
8.3. Уничтожение персональных данных осуществляется Оператором:
– по достижении цели обработки персональных данных;
– в случае утраты необходимости в достижении целей обработки персональных данных;
– в случае отзыва Субъектом персональных данных согласия на обработку своих персональных данных;
– по требованию Субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения кем-либо неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.
- Заключительные положения
9.1. Настоящее Положение является внутренним документом Оператора, общедоступным и подлежит размещению на официальном сайте Оператора.
9.2. Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не чаще одного раза в три года.
9.3. Контроль исполнения требований Положения осуществляется ответственным за обеспечение безопасности персональных данных.
