Политика обработки персональных данных
Благотворительного фонда «Вклад в будущее»
Благотворительного фонда «Вклад в будущее»
(утверждена Приказом № 13/ОД от 11.03.2024)
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии c Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152 — ФЗ), Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, а также иными федеральными законами и нормативными актами Российской Федерации, определяющими особенности обработки персональных данных (далее — ПДн), обеспечения безопасности и конфиденциальности (далее — Законодательство ПДн).
1.2. Положения и требования настоящей Политики направлены на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Благотворительном фонде «Вклад в будущее» (далее — Фонд).
1.3. Настоящая Политика устанавливает:
- принципы обработки ПДн;
- права субъектов ПДн;
- обязанности Фонда при осуществлении обработки ПДн;
- правовые основания обработки ПДн;
- категории субъектов ПДн и цели обработки;
- состав обрабатываемых ПДн;
- порядок и условия обработки ПДн;
- условия соблюдения конфиденциальности и обеспечения безопасности ПДн;
- порядок взаимодействия с субъектами ПДн и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор).
1.4. Ознакомление работников Фонда с настоящей Политикой, в том числе с изменениями настоящей Политики, осуществляется под роспись.
1.5. Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Фонда, имеющими доступ к ПДн.
1.6. Настоящая Политика подлежит размещению на сайте Фонда https://vbudushee.ru в информационно-телекоммуникационной сети Интернет, а также на всех страницах сайтов, с использованием которых осуществляется сбор ПДн.
2. Термины и сокращения
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Конфиденциальность персональных данных — обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные — персональные данные, полученные только из общедоступных источников персональных данных, доступ к которым не ограничен, и созданных в соответствии со статьёй 8 Федерального закона № 152 — ФЗ.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешённые субъектом персональных данных для распространения — персональные данные, к которым предоставлен свободный доступ неограниченного круга лиц на основании согласия на обработку, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152 — ФЗ.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Удаление персональных данных — изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Перечень сокращений
ИНН — Идентификационный номер налогоплательщика
Фонд — Благотворительный фонд «Вклад в будущее»
ПДн — Персональные данные
СНИЛС — Страховой номер индивидуального лицевого счета
3. Принципы обработки ПДн
Фонд является Оператором ПДн и осуществляет обработку ПДн с соблюдением следующих принципов, установленных Законодательством ПДн:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка ПДн несовместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только те ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн соответствуют целям обработки и не должны быть избыточными по отношению к заявленным целям обработки ПДн;
- при обработке ПДн обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Фонд принимает необходимые меры по удалению или уточнению неполных и (или) неточных ПДн;
- хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого является субъект ПДн;
- обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством ПДн.
4. Права субъекта ПДн
Субъект ПДн имеет право:
- свободно, своей волей и в своем интересе предоставлять свои ПДн и давать согласие на их обработку;
- отозвать свое согласие на обработку ПДн;
- получать информацию, касающуюся обработки своих ПДн в порядке, форме и в сроки, установленные Законодательством ПДн;
- требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее;
- требовать прекращения обработки своих ПДн;
- требовать прекращения обработки своих ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
- заявлять возражение против решения, принятого исключительно на основании автоматизированной обработки ПДн;
- обжаловать действия или бездействие Фонда в Роскомнадзор или в судебном порядке, если считает, что Фонд осуществляет обработку его ПДн с нарушением требований Федерального закона № 152 — ФЗ или иным образом нарушает его права и свободы;
- принимать предусмотренные Законодательством ПДн меры по защите своих прав и законных интересов.
5. Обязанности Фонда при осуществлении обработки ПДн
Фонд при осуществлении обработки ПДн обязан:
- обеспечить неограниченный доступ к настоящей Политике, в том числе с использованием информационно-телекоммуникационной сети Интернет, а также сведениям о реализуемых требованиях к защите ПДн;
- уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, об изменении сведений, указанных в уведомлении, а также в случае прекращения обработки ПДн в порядке и в сроки, установленные Федеральным законом № 152 — ФЗ;
- при сборе ПДн предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн;
- разъяснить субъекту ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на обработку ПДн, если предоставление ПДн и (или) получение согласия на обработку ПДн является обязательным в соответствии с Законодательством ПДн;
- обеспечить обработку ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе № 152 — ФЗ;
- не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации;
- разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения;
- предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к субъекту ПДн, в той форме, в которой было направлено соответствующее обращение либо запрос, если иное не указано в обращении или запросе;
- внести необходимые изменения в ПДн при наличии подтверждающих сведений, что ПДн являются неполными, неточными или неактуальными;
- немедленно прекратить по требованию субъекта ПДн обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
- уничтожить ПДн при наличии сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае отзыва субъектом ПДн согласия на обработку его ПДн прекратить их обработку и уничтожить его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
- по требованию субъекта ПДн прекратить обработку и уничтожить его ПДн, за исключением случаев, предусмотренных Законодательством ПДн;
- принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- уведомить Роскомнадзор в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, в порядке и сроки, установленные Законодательством ПДн;
- сообщать в Роскомнадзор по запросу всю необходимую информацию.
6. Правовые основания обработки ПДн
Фонд обрабатывает ПДн на основании следующих нормативных актов:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 12.01.1996 № 7 — ФЗ «О некоммерческих организациях»;
- Федеральный закон от 11.08.1995 № 135 — ФЗ «О благотворительной деятельности и добровольчестве (волонтерстве)»;
- Федеральный закон Российской Федерации от 01.04.1996 № 27 — ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон Российской Федерации от 06.12.2011 № 402 — ФЗ «О бухгалтерском учете»;
- Федеральный закон Российской Федерации от 28.12.2003 № 426 — ФЗ «О специальной оценке условий труда»;
- Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
- Приказ Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- согласие субъекта на обработку ПДн;
- согласие на обработку ПДн, разрешенных субъектом ПДн для распространения.
- договор (включая все необходимые процедуры до его заключения), стороной которого (выгодоприобретателем) или поручителем по которому является субъект ПДн;
- Устав Фонда.
7. Категории субъектов ПДн и цели обработки ПДн, состав и категории обрабатываемых ПДн, способы, сроки обработки и хранения ПДн
7.1. Категории субъектов ПДн.
7.1.1. В Фонде осуществляется обработка ПДн следующих категорий субъектов:
- кандидатов на вакантные должности;
- работников;
- уволенных работников;
- близких родственников работников;
- членов органов управления, надзора и контроля Фонда;
- потенциальных и действующих контрагентов (физических лиц, индивидуальных предпринимателей, представителей юридических лиц);
- физических лиц, направивших в Фонд обращения;
- посетителей и зарегистрированных пользователей сайтов;
- участников мероприятий, программ и акций, в т. ч. несовершеннолетних, их законных представителей;
- волонтеров.
7.2. Цели обработки ПДн.
7.2.1. Обработка ПДн кандидатов на вакантные должности осуществляется в целях содействия в трудоустройстве.
7.2.2. Обработка ПДн работников осуществляется в целях:
- заключения, исполнения, прекращения трудовых договоров;
- ведения кадрового делопроизводства;
- выполнения обязательств в рамках трудовых отношений, а также обязательств, предусмотренных трудовым, пенсионным, налоговым законодательством Российской Федерации;
- обучения или повышения квалификации;
- предоставления социальных льгот и компенсаций в случаях и порядке, установленном действующим законодательством Российской Федерации;
- обеспечение участия работников в партнерских программах лояльности;
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества.
7.2.3. Обработка ПДн уволенных работников осуществляется в целях выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете.
7.2.4. Обработка ПДн близких родственников работников осуществляется в целях предоставления социальных льгот и компенсаций работникам и (или) близким родственникам работников в случаях и порядке, установленном действующим законодательством Российской Федерации.
7.2.5. Обработка ПДн членов органов управления, надзора и контроля Фонда, осуществляется в целях обеспечения работы указанных органов, а также выполнения их решений.
7.2.6. Обработка ПДн потенциальных или действующих контрагентов (представителей юридических лиц, физических лиц, индивидуальных предпринимателей) осуществляется в целях:
- осуществления гражданско-правовых отношений;
- предоставления в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности, уведомлений и заявлений;
- исполнения требований налогового законодательства и законодательства о бухгалтерском учете.
7.2.7. Обработка ПДн физических лиц, направивших в Фонд обращения, осуществляется в целях должной и качественной обработки таких обращений, направления обратной связи.
7.2.8. Обработка ПДн посетителей и зарегистрированных пользователей сайтов осуществляется в целях:
- обеспечения удобного использования информационных ресурсов; оказания необходимой
- информационной поддержки.
7.2.9. Обработка ПДн физических лиц — участников мероприятий, программ и акций, в т. ч. несовершеннолетних, их законных представителей осуществляется в целях:
- сбора пожертвований на оказание помощи или поддержки, а также осуществления контроля (в т. ч. в форме отчетности) за целевым использованием пожертвований и расходования средств, полученных в ходе благотворительных акций;
- осуществления гражданско-правовых отношений с несовершеннолетними;
- обеспечения участия несовершеннолетних в мероприятиях, реализуемых Фондом, в т. ч. в информационно-телекоммуникационной сети Интернет;
- организация проведения конкурсов и отборов (в том числе подведения итогов), программ, проектов, акций и иных мероприятий, осуществление поддержки участников указанных мероприятий.
7.2.10. Обработка ПДн физических лиц - волонтеров осуществляется в целях:
- осуществления гражданско-правовых отношений;
- предоставления в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности, уведомлений и заявлений.
7.3. Состав обрабатываемых ПДн
7.3.1. В целях, указанных в п 7.2.1, осуществляется обработка следующих ПДн кандидатов на вакантные должности: фамилия, имя, отчество, дата рождения, место рождения, место регистрации, контактный телефон, адрес электронной почты, гражданство, паспортные данные, ИНН, сведения о трудовой деятельности; фамилия, имя, отчество, дата рождения близких родственников, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных.
7.3.2. В целях, указанных в п. 7.2.2, осуществляется обработка следующих ПДн работников: фамилия, имя, отчество, дата рождения, место рождения, пол, гражданство, ИНН, СНИЛС, реквизиты документа, удостоверяющего личность (вид документа, серия и номер, наименование органа, выдавшего документ, в том числе код подразделения, дата выдачи), адрес по месту регистрации, адрес фактического места проживания, адрес почтовый (для корреспонденции), номер телефона (личный), адрес электронной почты (личный, корпоративный), сведения о приеме на работу и переводах на другую работу (дата, наименование компании, структурное подразделение, должность (специальность, профессия), разряд, класс (категория) квалификации, тарифная ставка (оклад), надбавка, основание), сведения о начислениях и удержаниях, сведения о временной нетрудоспособности и больничных листах, реквизиты банковского счета.
7.3.3. В целях, указанных в п. 7.2.3, осуществляется обработка ПДн уволенных работников в том же составе, изложенном в п 7.3.2.
7.3.4. В целях, указанных в п. 7.2.4, осуществляется обработка следующих ПДн близких родственников работников: фамилия, имя, отчество, год рождения.
7.3.5. В целях, указанных в п. 7.2.5, осуществляется обработка следующих ПДн членов органов управления, надзора и контроля Фонда: фамилия, имя, отчество, место работы, должность, контактный телефон, адрес электронной почты, гражданство, паспортные данные.
7.3.6. В целях, указанных в п. 7.2.6, осуществляется обработка следующих ПДн потенциальных или действующих контрагентов (представителей юридических лиц, физических лиц, индивидуальных предпринимателей): фамилия, имя, отчество, дата рождения, место рождения, гражданство, ИНН, СНИЛС, реквизиты документа, удостоверяющего личность (вид документа, серия и номер, наименование органа, выдавшего документ, в том числе код подразделения, дата выдачи), адрес по месту регистрации, адрес почтовый (для корреспонденции), номер телефона (личный), адрес электронной почты (личный, корпоративный), наименование компании, структурное подразделение, должность (специальность, профессия), разряд, класс (категория) квалификации, реквизиты банковского счета.
7.3.7. В целях, указанных в п. 7.2.7, осуществляется обработка следующих ПДн физических лиц, направивших в Фонд обращения: фамилия, имя, отчество, контактный телефон, адрес электронной почты.
7.3.8. В целях, указанных в п. 7.2.8, осуществляется обработка следующих ПДн посетителей и зарегистрированных пользователей сайтов: адрес электронной почты, сведения о действиях на сайте (сайтах), в веб-приложениях (мобильных приложениях), и связанная с действиями информация (в том числе о дате/времени, когда совершались действия, об ID используемого устройства, ID (идентификаторе/уникальном коде, присваиваемом субъекту), IP-адресе, типе используемого устройства, типе операционной системы устройства, используемого субъектом.
7.3.9. В целях, указанных в п. 7.2.9, осуществляется обработка следующих ПДн физических лиц - участников мероприятий, программ и акций, в т. ч. несовершеннолетних, их законных представителей: фамилия, имя, отчество, дата рождения, место рождения, пол, гражданство, ИНН, СНИЛС, реквизиты документа, удостоверяющего личность (вид документа, серия и номер, наименование органа, выдавшего документ, в том числе код подразделения, дата выдачи), адрес по месту регистрации, адрес почтовый (для информирования), номер телефона (личный), адрес электронной почты (личный, корпоративный), реквизиты банковского счета, сведения о состоянии здоровья (заболеваниях, диагнозе или инвалидности).
7.3.10. В целях, указанных в п. 7.2.10, осуществляется обработка следующих ПДн волонтеров: фамилия, имя, отчество, дата рождения, ИНН, СНИЛС, реквизиты документа, удостоверяющего личность (вид документа, серия и номер, наименование органа, выдавшего документ, дата выдачи), адрес по месту регистрации.
7.4. Категории обрабатываемых ПДн.
7.4.1. Фонд осуществляет обработку специальных категорий ПДн, касающихся состояния здоровья работников, только в случаях, предусмотренных трудовым законодательством Российской Федерации.
7.4.2. Фонд осуществляет обработку специальных категорий ПДн о состоянии здоровья (заболеваниях, диагнозе или инвалидности) физических лиц, в т. ч. несовершеннолетних, нуждающихся или получивших в связи с состоянием своего здоровья материальную и (или) иную социальную помощь. Целью обработки является сбор пожертвований на оказание помощи или поддержки указанных лиц, а также осуществления контроля (в т. ч. в форме отчетности) за целевым использованием пожертвований и расходования средств, полученных в ходе благотворительных акций. Основанием обработки является собственноручное письменное согласие субъекта ПДн, либо его законного представителя.
7.4.3. Фонд не осуществляет обработку биометрических ПДн.
7.4.4. В Фонде не создаются общедоступные источники ПДн.
7.4.5. Фонд осуществляет распространение ПДн работников, членов органов управления, надзора и контроля Фонда, участников мероприятий, программ и акций, в т. ч. несовершеннолетних, соответственно в целях:
- организации проведения конкурсов и отборов (в том числе подведения итогов), программ, проектов, акций и иных мероприятий, осуществление поддержки участников указанных мероприятий;
- публикации сведений о различных аспектах и новостях деятельности в области образования, инклюзии, донесения до самой широкой аудитории, в том числе специалистов, информации о проектах и программах, конкурсах (итогах их проведения), отборов и акций;
- сбора пожертвований на оказание помощи или поддержки;
- на основании согласия на обработку ПДн, разрешенных субъектом ПДн для распространения.
7.5. Обработка ПДн осуществляется Фондом с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).
7.6. Сроки обработки и хранения ПДн определяются в соответствии с:
- целями обработки;
- договором, стороной которого является субъект ПДн;
- согласием субъекта ПДн на обработку;
- требованиями Законодательства ПДн.
8. Порядок и условия обработки ПДн
8.1. Сбор ПДн.
8.1.1. Сбор ПДн осуществляется непосредственно у самого субъекта ПДн и (или) через других лиц, с последующей их передачей в Фонд.
8.1.2. При сборе ПДн на страницах сайта Фонд предоставляет субъекту ПДн возможность ознакомиться с настоящей Политикой и дать согласие на обработку ПДн свободно, своей волей и в своем интересе.
8.1.3. Если в соответствии с Законодательством ПДн предоставление ПДн и (или) получение Фондом согласия на обработку ПДн являются обязательными, Фонд разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
8.1.4. Если ПДн получены не от субъекта ПДн, Фонд до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию:
- наименование и адрес Фонда;
- цель обработки ПДн и ее правовое основание;
- перечень ПДн;
- предполагаемые пользователи ПДн;
- установленные Законодательством ПДн права субъекта ПДн;
- источник получения ПДн.
8.1.5. Фонд освобождается от обязанности предоставлять субъекту ПДн перечисленные сведения, в случаях, если субъект ПДн уведомлен об осуществлении обработки его ПДн, либо если ПДн получены Фондом на основании федерального закона или в связи с исполнением договора, стороной которого является субъект ПДн.
8.2. Условия передачи ПДн третьим лицам.
8.2.1. Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.
8.2.2. Передача ПДн внутри Фонда осуществляется только между имеющими доступ к ПДн субъектов лицами.
8.2.3. Представителю субъекта ПДн сведения предоставляются в порядке, установленном действующим Законодательством ПДн, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.
8.2.4. Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта ПДн. В согласии субъекта ПДн указываются сведения об известном Фонду третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн.
8.2.5. Передача ПДн или поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями Законодательства о ПДн.
8.3. Трансграничная передача ПДн не осуществляется.
8.4. Хранение ПДн.
8.4.1. Хранение ПДн осуществляется в информационных системах Фонда и на бумажных носителях.
8.4.2. Документы на бумажных носителях, резервные копии баз данных информационных систем хранятся в специально выделенных помещениях Фонда, доступ к которым предоставляется работникам на основании внутренних нормативных документов.
8.5. Прекращение обработки и уничтожение ПДн.
8.5.1. В случае выявления неправомерной обработки ПДн при обращении (запросу) субъекта ПДн или его представителя, либо запроса Роскомнадзора, Фонд в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн и в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн.
8.5.2. В случае отзыва субъектом согласия на обработку его ПДн Фонд прекращает такую обработку, если хранение ПДн более не требуется для целей обработки, уничтожает ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено Законодательством ПДн, нормами архивного хранения документов, а также договором стороной которого является субъект ПДн.
8.5.3. В случае обращения субъекта ПДн с требованием о прекращении обработки ПДн Фонд в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законодательством ПДн.
8.5.4. В случае утраты необходимости в достижении целей Фонд уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено Законодательством ПДн.
8.5.5. В случае достижения целей обработки ПДн, а также по истечении установленных сроков хранения ПДн Фонд уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено Законодательством ПДн.
8.6. В Фонде отсутствуют процессы принятия на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
9. Конфиденциальность ПДн
9.1. Доступ к ПДн ограничивается в соответствии с Законодательством ПДн.
9.2. Доступ к обрабатываемым ПДн предоставляется только тем работникам Фонда, которым он необходим в связи с исполнением ими своих должностных обязанностей.
9.3. Работники Фонда, получившие доступ к ПДн, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых ПДн.
9.4. Фонд не раскрывает третьим лицам и не распространяет ПДн без согласия на это субъекта ПДн, если иное не предусмотрено Законодательством ПДн.
9.5. Третьи лица, получившие доступ к ПДн, или осуществляющие обработку ПДн по поручению Фонда, обязуются соблюдать требования договоров и соглашений с Фондом в части обеспечения конфиденциальности и безопасности ПДн.
10. Безопасность ПДн
10.1. В Фонде соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности ПДн.
10.2. Для обеспечения конфиденциальности и безопасности ПДн, защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Фондом принимаются необходимые правовые, организационные и технические меры, или обеспечивается их принятие (если обработка ПДн осуществляется лицом, действующим по поручению Фонда). В частности, принимаются следующие меры:
- определяются актуальные угрозы безопасности ПДн, обрабатываемых в ИСПДн, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности ПДн;
- для нейтрализации актуальных угроз безопасности ПДн применяются средства защиты информации, соответствующие уровням защищенности и прошедшие в установленном порядке процедуру оценки соответствия;
- проводится оценка эффективности принимаемых (реализованных) мер защиты и обеспечения безопасности ПДн, в том числе до ввода информационных систем в эксплуатацию;
- обеспечиваются пропускной режим и управление доступом к ПДн;
- обеспечиваются регистрация и учет всех действий, совершаемых с персональными данными в ИСПДн;
- осуществляется организация учета технических средств, входящих в состав ИСПДн, а также машинных носителей;
- определяется и при необходимости актуализируется перечень лиц (работников Фонда), которым для выполнения трудовых обязанностей необходим доступ к ПДн;
- обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к ПДн;
- внедряются подсистемы аудита ИСПДн, которые осуществляют регистрацию и учет действий, совершаемых с ПДн;
- обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, в частности, реализуется размещение ИСПДн внутри защищенного периметра, расположенного в пределах контролируемой зоны;
- реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к ПДн, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
- обеспечивается восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществляется эксплуатация разрешенного к использованию программного обеспечения и (или) его компонентов, а также обеспечивается контроль за его установкой и обновлением;
- осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;
- проводится внешний и внутренний инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;
- осуществляется эксплуатация разрешенного к использованию программного обеспечения и (или) его компонентов, а также обеспечивается контроль за его установкой и обновлением;
- реализуется контроль за принимаемыми мерами по обеспечению безопасности и уровня защищенности ИСПДн.
- проводится оценка вреда, который может быть причинен субъектам ПДн в случае наступления негативных последствий, а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения всех обязательств.
11. Порядок рассмотрения обращений субъектов ПДн
11.1. Предоставление информации и (или) принятие мер в связи с поступлением обращений и (или) запросов от субъектов ПДн производится Фондом в объеме и сроки, предусмотренные Федеральным законом № 152 — ФЗ. Установленный срок ответа субъекту на запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен не более чем на 5 (пять) рабочих дней при условии направления в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
11.2. Запрос, направляемый субъектом ПДн, должен содержать информацию, предусмотренную Федеральным законом № 152 — ФЗ.
11.3. Фонд, получив обращение (запрос) субъекта ПДн и убедившись в его законности, предоставляет сведения, указанные в запросе, субъекту ПДн (его представителю) в той форме, в которой направлено соответствующее обращение (запрос), если иное не указано в обращении (запросе), принимает все необходимые меры в зависимости от специфики обращения (запроса). Предоставляемые сведения не должны содержать ПДн, принадлежащие другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.
11.4. Фонд вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении (запросе), путем направления субъекту ПДн или его представителю мотивированного отказа, если в соответствии с законодательством Российской Федерации имеются законные основания отказать в выполнении или удовлетворении поступивших требований.
11.5. В Фонде осуществляется контроль за приемом и обработкой обращений субъектов ПДн в целях обеспечения соблюдения их прав и законных интересов, требований к срокам обработки обращений, обеспечения качества и полноты принятия мер, предоставления необходимой информации по его обращению согласно требованиям Порядка работы с обращениями и запросами.
12. Уведомление уполномоченного органа по защите прав субъектов ПДн
12.1. В случаях, установленных Федеральным законом № 152 — ФЗ, Фонд направляет в Роскомнадзор уведомление об обработке ПДн.
12.2. В случае изменений сведений об обработке ПДн Фонд уведомляет об этом Роскомнадзор в порядке и сроки, установленные Федеральным законом № 152 — ФЗ.
12.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Фонд с момента выявления такого инцидента, уведомляет Роскомнадзор:
- в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
- в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
12.4. Фонд сообщает по запросу Роскомнадзора необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней при условии направления в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
13. Запреты и ограничения на обработку ПДн, разрешенных субъектом ПДн для распространения
13.1. Посетители сайта (неограниченный круг лиц) и любые сторонние операторы могут обрабатывать ПДн сотрудников, волонтеров и партнеров Фонда, участников мероприятий, в т. ч. несовершеннолетних, иных физических лиц, осуществляющих взаимодействие с Фондом, которые распространяются на информационных ресурсах в сети Интернет vbudushee.ru и ai-academy.ru, с учетом следующих запретов или условий: копирование материалов разрешено только при наличии ссылки на источник; произведения, размещенные на указанных ресурсах, Фонд предоставляет для использования в некоммерческих общественно полезных целях.
13.2. Посетители сайтов (неограниченный круг лиц) и любые сторонние операторы не могут осуществлять какие-либо действия в отношении ПДн сотрудников, волонтеров и партнеров Фонда, участников мероприятий, в т. ч. несовершеннолетних, иных физических лиц, осуществляющих взаимодействие с Фондом, которые распространяются на информационных ресурсах в сети Интернет vbudushee.ru и ai-academy.ru, так или иначе нарушающие Условия использования сайтом, за исключением ознакомления с ПДн.
14. Заключительные положения
14.1. Настоящая Политика подлежит пересмотру и совершенствованию на регулярной основе в установленном в Фонде порядке, а также в случаях изменения законодательства Российской Федерации или внутренних нормативных документов Фонда, определяющих порядок обработки и защиты ПДн.
14.2. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности ПДн.
14.3. Ответственность должностных лиц Фонда, имеющих доступ к ПДн, за невыполнение требований и норм настоящей Политики, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними нормативным документами Фонда.