ПОЛОЖЕНИЕОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЩИЕ ПОЛОЖЕНИЯ
Положение об обработке и защите персональных данных Некоммерческой организацией «Фонд содействия развитию институтов гражданского общества в Приволжском федеральном округе» (НКО «Фонд гражданского общества») (далее — Положение, Фонд) является локальным нормативным актом Фонда, расположенного по адресу: 603000, Нижегородская область, г. Нижний Новгород, ул. Пискунова, дом 29, П8Д, к.46 регулирующим подходы Фонда к обработке персональных данных.
Положение регулирует то, каким образом Фонд собирает, использует, хранит, передает и иным образом обрабатывает персональные данные в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и другими нормативными актами. Действия Фонда в отношении обработки персональных данных в информационных системах также регулируются Политикой конфиденциальности и другими локальными нормативными актами, принятыми для этих целей.
Положение распространяется на всех заявителей конкурсов, благополучателей, грантополучателей, работников Фонда, кандидатов на вакантную должность (соискателей), членов органов Фонда, контрагентов, участников мероприятий, а также иных субъектов персональных данных (если применимо) и определяет правила обработки персональных данных и всей информации о физическом лице, которую Фонд может получить во время использования физическим лицом сервисов сайтов, расположенных по адресам:
https://www.театральноеприволжье.рф,
https://www.героиотечествапфо.рф,
собственником которых является Фонд, (далее «Сервисы»).
Правовые основания обработки персональных данных:
Обработка
персональных данных осуществляется Оператором на законной и справедливой основе
в соответствии с требованиями следующих нормативных правовых актов, действующих
на территории Российской Федерации в области обработки персональных данных и
обеспечения информационной безопасности, и документов:
• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 12.01.1996 №7-ФЗ «О некоммерческих организациях»;
• Федеральный закон от 11.08.1995 №135-ФЗ «О благотворительный деятельности и добровольчестве (волонтерстве)»;
• Федеральный закон «О бухгалтерском учете»;
• Постановление Правительства «Об утверждении Положения о воинском учете»;
• Федеральный закон «Об обязательном (персонифицированном) учете в системе обязательного пенсионного страхования»;
•
Федеральный закон «Об обязательном пенсионном страховании в Российской
Федерации»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;
• Устав фонда;
• Благотворительные программы и проекты Фонда.
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛОЖЕНИИ
1.1. Автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники.
1.2. Пользователи информационных систем Фонда, в том числе: Благополучатели — физические или юридические лица, получающие денежные средства или иную поддержку Фонда в рамках осуществления благотворительных программ. Заявители — физические или юридические лица, в том числе, подающие заявки для участия в рамках осуществления благотворительных программ.
1.3. Блокирование — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
1.4. Выгрузка из журнала — выгрузка из журнала регистрации событий в информационной
системе персональных данных.
1.5. Грантополучатели - физические или юридические лица, получающие безвозмездную безвозвратную поддержку Фонда в денежной или натуральной форме на реализацию проектов в поддерживаемых Фондом сферах деятельности.
Участники - физические лица,
1.6. Информационная система персональных данных, ИСПДн — совокупность содержащихся в базах данных Фонда персональных данных и обеспечивающих их обработку соответствующих информационных технологий и технических средств.
1.7. Контрагент — юридическое или физическое лицо, с которым Фонд вступает в договорные отношения, за исключением трудовых отношений.
1.8. Конфиденциальность — обязательное для соблюдения Фондом или иными лицами, получившими доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.9. Неавтоматизированная обработка персональных данных — любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека.
1.10. Обезличивание персональных данных — действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.11. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых в отношении персональных данных с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.12. Обработчик — лицо, осуществляющее обработку персональных данных на основании
соответствующего поручения (инструкций) оператора.
1.13. Оператор персональных данных — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.14. Ответственный за организацию обработки персональных данных — работник Фонда, в обязанности которого входит осуществление внутреннего контроля за соблюдением Фондом и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
доведение до сведения работников Фонда положения законодательства Российской Федерации о персональных данных, локальных нормативных актов Фонда по вопросам обработки персональных данных, требований к защите персональных данных, организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
1.15. Ответственный за обеспечение безопасности персональных данных — работник Фонда, в обязанности которого входит обеспечение безопасности персональных данных, т в том числе, определение уровня защищенности персональных данных, обрабатываемых в Информационных системах, разработка моделей угроз безопасности персональных данных при их обработке в Информационных системах с учетом требований и рекомендаций законодательства в области персональных данных, и др. обязанности в соответствии с законодательством Российской Федерации.
1.16. Персональные данные, ПДн — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
1.17. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.18. Работники — физические лица, состоящие в трудовых отношениях с Фондом.
1.19. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.20. Роскомнадзор — уполномоченный орган по защите прав субъектов персональных данных.
1.21. Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимостей и иные данные, относимые к специальным категориям персональных данных согласно законодательству Российской Федерации.
1.22. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.23. Уничтожение персональных данных — действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. ЦЕЛИ И КАТЕГОРИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Мы обрабатываем следующие категории персональные данные для соответствующих им целей:
2.1.1. персональные данные работников для цели эффективного регулирования трудовых отношений между Фондом и работниками, а также ведения кадрового, пенсионного, воинского и бухгалтерского учета;
2.1.2. персональные данные близких родственников работников с целью соблюдения трудового и налогового законодательства Российской Федерации;
2.1.3. персональные данные кандидатов на вакантную должность (соискателя) для оценки и рассмотрения возможности дальнейшего трудоустройства;
2.1.4. персональные данные членов органов Фонда с целью обеспечения исполнения их полномочий;
2.1.5. персональные данные контрагентов с целью выполнения требований законодательства в рамках принципа должной осмотрительности, заключения и исполнения договоров с контрагентами;
2.1.6. персональные данные пользователей информационных систем Фонда (заявителей), с целью предоставления доступа к конкурсам / программам Фонда;
2.1.7. персональные данные благополучателей / грантополучателей с целью предоставления поддержки, заключения и исполнения договоров, получения и проверки отчетов (мониторинг проектов благополучателей / грантополучателей), осуществления рассылок, публикации информации о благополучателях / грантополучателях, информирования общественности о деятельности Фонда;
2.1.9. персональные данные участников мероприятий с целью организации опросов, анкетирования и организации мероприятий. Мы можем осуществлять обработку иных персональных данных и (или) определять иные цели обработки, не указанные в таком документе, при условии соблюдения применимых требований законодательства, а также настоящего Положения.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Законность:
Обработка персональных данных осуществляется на законной и справедливой основе в соответствии с применимым законодательством, включая Закон о персональных данных и нормативные правовые акты, принятые в соответствии с ним. Мы обрабатываем персональные данные при наличии определенных правовых оснований для этого, в том числе, когда:
3.1.1. субъект персональных данных предоставил письменное согласие, если это требуется в соответствии с применимым законодательством;
3.1.2. это необходимо для заключения или исполнения договора с субъектом персональных данных или договора, по которому он является поручителем или выгодоприобретателем;
3.1.3. это необходимо для осуществления и выполнения возложенных на Фонд функций, полномочий и обязанностей в соответствии с действующим законодательством, в том числе в соответствии с гражданским, налоговым, пенсионным, трудовым законодательством, законодательством о благотворительной деятельности, воинском учете, некоммерческих организациях и целевых капиталах некоммерческих организаций;
3.1.4. это необходимо для осуществления прав и законных интересов Фонда или третьих лиц;
3.1.5. осуществляется обработка обезличенных персональных данных в статистических и (или) иных исследовательских целях;
3.1.6. у Фонда есть иные основания в соответствии с законодательством Российской Федерации.
3.2. Ограничение целью:
Мы определяем законные цели обработки персональных данных до ее начала и обеспечиваем, чтобы:
3.2.1. любая последующая обработка была совместима с такими целями;
3.2.2. Фонд обрабатывал только те персональные данные, которые необходимы для достижения заявленных целей;
3.2.3. содержание и объем персональных данных не являлись избыточными по отношению к целям обработки;
3.2.4. персональные данные хранились в форме, позволяющей отнести их к определенному субъекту персональных данных, до тех пор, пока это необходимо для достижения целей обработки, а затем уничтожались или обезличивались (если только иной срок хранения не установлен законодательством);
3.2.5. базы данных, содержащие персональные данные, обрабатываемые для несовместимых целей, не объединялись друг с другом.
3.3. Безопасность и конфиденциальность:
Мы обеспечиваем конфиденциальность и безопасность обрабатываемых персональных данных и принимаем все правовые, организационные и технические меры защиты персональных данных.
3.4. Полнота и точность:
Мы внедряем необходимые механизмы, чтобы исключить обработку персональных данных, являющихся неточными, неполными, недостоверными, устаревшими или чрезмерными.
3.5. Прозрачность:
Мы обеспечиваем свободный доступ субъектов персональных данных к настоящему Положению и знакомим работников с его содержанием. Если предоставление персональных данных является обязательным в соответствии с законодательством, мы объясняем субъекту персональных данных последствия отказа их предоставить.
3.6. Сбор персональных данных непосредственно от субъекта персональных данных:
Мы обеспечиваем получение персональных данных непосредственно от субъекта персональных данных, третьих лиц, уполномоченных на предоставление персональных данных Фонду субъектом персональных данных, или на иных законных основаниях. Если персональные данные могут быть получены только от третьего лица, мы уведомляем об этом субъекта персональных данных и запрашиваем у него соответствующее согласие, когда этого требует законодательство.
3.7. Неавтоматизированное принятие решений:
Мы не принимаем какие-либо решения, порождающие юридически значимые последствия и иным образом затрагивающие права и законные интересы субъектов персональных данных, на основании исключительно автоматизированной обработки персональных данных.
4. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Фонд обрабатывает персональные данные с использованием средств автоматизации (обработка персональных данных с помощью средств вычислительной техники), без использования средств автоматизации (обработка персональных данных на материальных носителях), смешанно.
4.2. При обработке персональных данных мы совершаем следующие действия (операции) с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
4.3. При сборе персональных данных, в том числе посредством сети Интернет, мы обеспечиваем запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
4.4. В случае привлечения третьих лиц для реализации благотворительных программ Фонда мы предоставляем таким лицам доступ к персональным данным, собранным посредством порталов и сайтов:
https://www.театральноеприволжье.рф,
https://www.героиотечествапфо.рф,
При этом мы предоставляем доступ исключительно при наличии согласия субъектов персональных данных.
5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ И ПОРУЧЕНИЕ ИХ ОБРАБОТКИ
5.1. Передача внутри Фонда:
5.1.1. Персональные данные могут передаваться внутри Фонда только между его работниками, которым требуется доступ к таким персональным данным для выполнения их должностных обязанностей. Объем персональных данных, передаваемых между работниками, должен быть ограничен целями обработки и выполнения должностных обязанностей, связанных с такой обработкой, при этом в обязательном порядке работники подписывают обязательства о неразглашении персональных данных.
5.1.2. Доступ к персональным данным предоставляется лицу, не являющемуся субъектом персональных данных, только после принятия им на себя в письменном виде обязательства обеспечивать безопасность и конфиденциальность персональных данных.
5.2. Поручение на обработку персональных данных третьим лицам:
5.2.1. Мы можем поручать обработку ваших персональных данных третьим лицам (обработчикам). Поручение на обработку осуществляется при наличии согласия субъектов персональных данных. Кроме того, мы обеспечиваем, чтобы такое поручение соответствовало требованиям Закона о персональных данных к его содержанию.
5.2.2. При поручении на обработку персональных данных мы обеспечиваем:
- чтобы у такого третьего лица были для этого законные основания;
- такие третьи лица приняли на себя обязательство об обеспечении безопасности и конфиденциальности персональных данных, а также по применению юридических, организационных и технических мер защиты данных.
5.3. Законное раскрытие персональных данных:
5.3.1. В некоторых случаях в соответствии с требованиями законодательства мы обязаны раскрыть и (или) предоставить персональные данные уполномоченным государственным органам и (или) определенным третьим лицам.
5.3.2. До раскрытия персональных данных государственному органу или такому третьему лицу мы удостоверяемся, что соответствующий запрос является законным. Мы не будем раскрывать персональные данные государственным органам или таким третьим лицам в случаях, когда раскрытие не требуется законом или запрос о раскрытии персональных данных, направленный в Фонд, является незаконным.
6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Мы храним персональные данные в информационных системах персональных данных и на материальных носителях персональных данных, а также ведем учет машинных носителей персональных данных и мест их хранения.
6.2. Мы храним персональные данные до тех пор, пока это необходимо для достижения целей обработки и в соответствии с применимым законодательством и (или) договоренностями с субъектами персональных данных.
6.3. По достижении целей обработки мы должны прекратить такую обработку и уничтожить персональные данные в течение 30 (тридцати) дней, за исключением случаев, когда законодательством предусмотрен иной срок.
6.4. Сроки хранения персональных данных определяются в соответствии с Федеральным законом от 22 октября 2004 года № 125-ФЗ «Об архивном деле в Российской Федерации», Приказом Росархива от 20 декабря 2019 года № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Налоговым кодексом Российской Федерации, Федеральным законом от 6 декабря 2011 года № 402-ФЗ «О бухгалтерском учете», иными федеральными законами и локальными нормативными актами Фонда.
6.5. При прекращении трудовых отношений с работником или гражданско-правовых отношений с лицом, оказывающим Фонду услуги по договору гражданско-правового характера, имеющим доступ к персональным данным, документы и иные носители, содержащие персональные данные субъектов (при их наличии), передаются такими работниками или иными лицами непосредственному руководителю (иному уполномоченному лицу Фонда), который подписывает обходной лист для подтверждения получения указанных документов и носителей персональных данных. Помимо указанного в настоящем пункте Фонд блокирует доступ работникам, с которыми прекращаются трудовые отношения, или лицам, с которыми прекращается договор гражданско-правового характера, к любым персональным данным.
7. НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В случае неавтоматизированной обработки персональных данных Фонд, его работники и вовлеченные в обработку третьи лица должны обеспечить, чтобы такая обработка соответствовала требованиям Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а именно, чтобы:
7.1.1. персональные данные записывались отдельно от иной информации на отдельных носителях, в отдельных разделах или полях форм, которые могут содержать персональные данные;
7.1.2. разные носители использовались для персональных данных, обрабатываемых в различных целях, и такие носители хранились раздельно;
7.1.3. работникам Фонда, осуществляющим обработку персональных данных без использования средств автоматизации, были известны особенности такой обработки, в том числе путем ознакомления их с настоящим Положением;
7.1.4. типовые формы и связанные с ними документы соответствовали применимым требованиям, а именно, чтобы:
- в типовые формы или связанные с ними документы (инструкция по ее заполнению, карточки, реестры и журналы) включались сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Фонда, фамилия, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых в Фонде способов обработки персональных данных;
- в типовую форму включалось поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации (когда требуется письменное согласие);
- типовая форма составлялась таким образом, чтобы каждый из субъектов персональных данных, чьи персональные данные содержатся в документе, имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных.
8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъекты персональных данных имеют, в частности, следующие права в отношении обработки их персональных данных:
8.1.1. отозвать согласие на обработку персональных данных в случае, когда обработка осуществляется на основании такого согласия;
8.1.2. требовать от Фонда уточнения (исправления) персональных данных, являющихся неполными, устаревшими, неточными и (или) недостоверными;
8.1.3. требовать от Фонда уничтожения (удаления) персональных данных, полученных незаконно или не являющихся необходимыми для достижения заявленной цели обработки (избыточных персональных данных);
8.1.4. получать доступ к своим персональным данным и знакомиться с такими данными, включая право на безвозмездное получение копии любой записи, содержащей их персональные данные;
8.1.5. получать от Фонда следующие сведения:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и место нахождения Фонда, сведения о лицах (за исключением работников Фонда), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Фондом или на основании федерального закона;
- обрабатываемые персональные данные, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления прав субъектом персональных данных;
- информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Фонда, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Фондом обязанностей, установленных Законом о персональных данных;
- иные сведения в соответствии с законодательством Российской Федерации.
8.1.6. требовать извещения Фондом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
8.1.7. обжаловать действие или бездействие Фонда в Роскомнадзоре или в суде;
8.1.8. осуществлять иные права в сфере защиты персональных данных в соответствии с российским законодательством.
8.2. Для осуществления соответствующих прав в отношении обработки персональных данных Фондом субъект персональных данных или его надлежащим образом уполномоченный представитель (лицо, действующее по доверенности, родитель несовершеннолетнего, опекун, попечитель и др.) должен направить Фонду запрос или уведомление одним из следующих способов:
8.2.1. по электронной почте: federalfond@yandex.ru;
8.2.2. почтой, курьером или путем личного вручения работнику Фонда, ответственному за прием корреспонденции по адресу: _____________________________________________.
8.3. В случае получения запроса или уведомления, не соответствующего требованиям законодательства, мы разъясняем субъекту персональных данных или его представителю требования к форме запроса или уведомления, за исключением случаев, когда лицо, направившее запрос или уведомление, не предоставило свои контактные данные для взаимодействия с Фондом.
8.4. После получения запроса или уведомления от субъекта персональных данных или его представителя мы вправе запросить документы, удостоверяющие личность лица, направившего запрос (уведомление), а также полномочия представителя, если запрос или уведомление направлено им. Если такие документы не будут предоставлены Фонду по его запросу, мы оставляем за собой право не рассматривать полученный запрос или уведомление по существу в связи с отсутствием возможности удостовериться в личности и наличии соответствующего права у обратившегося лица.
8.5. Мы рассматриваем запросы и уведомления в сроки, установленные законодательством,
локальными нормативными актами Фонда, запросами государственных органов.
9. ОБЯЗАННОСТИ ФОНДА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Фонд принимает следующие обязанности в отношении обработки персональных данных:
9.1.1. разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку, если предоставление этих персональных данных или согласие являются обязательными;
9.1.2. предоставить субъекту персональных данных информацию о том, какие данные о нем будет обрабатывать Фонд, если такие персональные данные получены не от субъекта персональных данных;
9.1.3. обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (распространение, предоставление, доступ) персональных данных;
9.1.4. уведомлять Роскомнадзор в течение 24 (двадцати четырех) часов о факте неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, а также о предполагаемых причинах и вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента;
9.1.5. в течение 72 (семидесяти двух) часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщить о лицах, действия которых стали причиной утечки персональных данных;
9.1.6. в случае получения от субъекта персональных данных письменного запроса относительно обработки его персональных данных дать на него развернутый ответ в срок не позднее 10 (десяти) рабочих дней с даты получения запроса.
9.2. Работники Фонда принимают следующие обязанности в отношении обработки персональных данных:
9.2.1. не передавать и иным образом не раскрывать персональные данные третьим лицам в отсутствие законных оснований для такой передачи и (или) полномочий(прав) у такого работника на осуществление такой передачи;
9.2.2. не копировать и не делать выписки персональных данных в целях, не связанных с выполнением конкретным работником должностных обязанностей;
9.2.3. обеспечивать сохранность материальных носителей персональных данных и не предоставлять их лицам, не допущенным Фондом к обработке персональных данных;
9.2.4. не использовать для передачи и иной обработки персональных данных личные и публичные сервисы и технологии;
9.2.5. предоставлять Фонду документы, содержащие персональные данные, необходимые для достижения целей их обработки;
9.2.6. предоставлять Фонду достоверные, актуальные, полные и точные персональные данные;
9.2.7. уведомлять уполномоченных работников Фонда об изменении своих персональных данных.
10. МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Фонд принимает и будет принимать технические, юридические и организационные меры безопасности в отношении персональных данных, в том числе:
10.1.1. назначает лицо, ответственное за организацию обработки персональных данных;
10.1.2. назначает лицо, ответственное за обеспечение безопасности персональных данных;
10.1.3. устанавливает процедуры, направленные на предупреждение и выявление нарушений законодательства Российской Федерации о персональных данных и устранение последствий таких нарушений;
10.1.4. принимает локальные нормативные акты в отношении обработки персональных данных;
10.1.5. заключает договоры с лицами, обрабатывающими персональные данные по поручению Фонда в соответствии с требованиями Закона о персональных данных;
10.1.6. осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации о защите данных и локальным нормативным актам Фонда;
10.1.7. оценивает вред, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, соотносит указанный вред и принимаемые меры, направленные на обеспечение защиты персональных данных;
10.1.8. знакомит работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, локальными нормативными актами Фонда по вопросам обработки персональных данных и проводит обучение указанных работников;
10.1.9. ведет постоянно обновляемые записи обо всех лицах, имеющих право доступа к системам, в которых хранятся персональные данные, с указанием процедур обработки данных, которые они имеют право осуществлять;
10.1.10. защищает помещения, в которых размещена информационная система персональных данных, от неконтролируемого доступа или нахождения;
10.1.11. применяет средства защиты информации, в том числе прошедшие процедуру оценки соответствия, когда это необходимо для нейтрализации актуальных угроз безопасности персональных данных;
10.1.12. вводит надлежащие механизмы, включая имена пользователей и секретные пароли, чтобы обеспечить доступ к персональным данным исключительно лицам, имеющим право доступа к таким данным, причем в той мере, в какой им необходимо иметь такой доступ для осуществления их обязанностей;
10.1.13. проверяет и принимает меры к тому, чтобы каждое лицо, имеющее доступ к системам и (или) папкам, в которых хранятся персональные данные, знало о своих обязанностях и процедурах обработки, связанных с такими данными, а также об ответственности;
10.1.14. обеспечивает применение процедур направления отчетов и разрешения проблем, а также мер, принятых для обеспечения уровня безопасности, установленного настоящим Положением;
10.1.15. устанавливает антивирусные программы с целью защиты персональных данных;
10.1.16. устанавливает разграниченный доступ к персональным данным, обрабатываемым в информационной(-ых) системе(-ах) Фонда;
10.1.17. осуществляет обезличивание персональных данных.
10.2. Для предотвращения утраты персональных данных Фонд осуществляет:
10.2.1. введение надлежащих процедур резервирования и восстановления персональных данных;
10.2.2. обеспечение регулярного резервного копирования персональных данных;
10.2.3. хранение материальных носителей персональных данных в несгораемых металлических шкафах и сейфах в соответствии с требованиями законодательства Российской Федерации.
10.3. Мы принимаем другие необходимые юридические, организационные и технические меры по защите персональных данных от незаконного или случайного доступа, уничтожения, изменения, блокирования, копирования, передачи, распространения, а также других незаконных действий в отношении персональных данных, в частности, меры, предусмотренные Законом о персональных данных, Постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами.
11. ЛИЦА, ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Исполнительный директор является Ответственным за организацию обработки персональных данных. Исполнительный директор вправе назначать иного Ответственного за организацию обработки персональных данных в соответствии с требованиями применимого законодательства. В таком случае Ответственный за организацию обработки персональных данных получает инструкции непосредственно от Исполнительного директора и является подотчетным Исполнительному директору.
11.2. Исполнительный директор Фонда является Ответственным за обеспечение безопасности персональных данных. Исполнительный директор вправе назначать иного Ответственного за обеспечение безопасности персональных данных в соответствии с требованиями применимого законодательства. В таком случае Ответственный за обеспечение безопасности персональных данных получает инструкции непосредственно от Исполнительного директора и является подотчетным Исполнительному директору.
11.3. Ответственный за организацию обработки персональных данных:
11.3.1. осуществляет внутренний контроль за соблюдением работниками и Фондом требований законодательства Российской Федерации о персональных данных, в том числе требований по защите персональных данных;
11.3.2. информирует работников о требованиях законодательства Российской Федерации о персональных данных и локальных нормативных актов Фонда в этой сфере;
11.3.3. осуществляет контроль уничтожения персональных данных в порядке, установленном законодательством и настоящим Положением;
11.3.4. организовывает прием и обработку запросов, обращений и уведомлений субъектов персональных данных (их представителей), уполномоченного органа по защите прав субъектов и (или) осуществляет контроль за приемом и обработкой таких обращений, запросов и уведомлений.
11.4. Ответственный за обеспечение безопасности персональных данных:
11.4.1. определяет уровень защищенности персональных данных, обрабатываемых в информационных системах;
11.4.2. разрабатывает модели угроз безопасности персональных данных при их обработке в информационных системах с учетом требований и рекомендаций законодательства в области персональных данных;
11.4.3. обеспечивает применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
11.4.4. проверяет готовность средств защиты информации к использованию с составлением заключения о возможности их эксплуатации (при необходимости);
11.4.5. устанавливает и вводит в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;
11.4.6. проводит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных в информационных системах;
11.4.7. осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
11.4.8. осуществляет обучение работников, применяющих средства защиты информации, правилам работы с ними.
12. БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Если блокирование персональных данных не влечет нарушения прав и законных интересов субъектов персональных данных или третьих лиц, персональные данные должны быть заблокированы незамедлительно после получения какого-либо из следующих запросов субъекта персональных данных или государственного органа:
12.1.1. запрос, направленный на прекращение неправомерной обработки персональных данных;
12.1.2. запрос об уточнении (исправлении) неполных, устаревших, неточных или недостоверных персональных данных.
12.2. Персональные данные должны блокироваться до завершения расследования обстоятельств, являющихся предметом запроса, указанного в пункте 12.1, и если применимо, то Фонд совершает необходимые шаги для дальнейшего расследования в зависимости от типа запроса и подтвержденных обстоятельств.
12.3. Персональные данные подлежат уничтожению, когда:
12.3.1. выявлена незаконная обработка персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо по обращению Роскомнадзора, и невозможно обеспечить ее законность и таким образом устранить нарушение;
12.3.2. персональные данные были получены незаконно или не являются необходимыми для достижения заявленных целей обработки, включая случаи, когда данные обстоятельства были выявлены в ходе рассмотрения (расследования) соответствующего запроса субъекта персональных данных и (или) Роскомнадзора;
12.3.3. субъект персональных данных отзывает согласие на обработку персональных данных, и у Фонда нет иных законных оснований для продолжения обработки персональных данных;
12.3.4. субъект персональных данных предъявляет требование об уничтожении, если его персональные данные являются неполными, устаревшими или неточными;
12.3.5. Фондом достигнуты цели обработки персональных данных;
12.3.6. истекли предусмотренные законодательством сроки хранения;
12.3.7. персональные данные признаны недостоверными или полученными незаконным путем по требованию Роскомнадзора;
12.3.8. в иных случаях, предусмотренных законодательством Российской Федерации.
12.4. Фондом применяются следующие процедуры уничтожения в зависимости от носителей, на которых содержатся персональные данные:
12.4.1. персональные данные, содержащиеся в информационных системах, должны удаляться (стираться) из таких информационных систем либо обезличиваться без возможности деобезличивания;
12.4.2. персональные данные, содержащиеся на электронных отчуждаемых носителях, должны удаляться (стираться) с таких носителей либо обезличиваться без возможности деобезличивания, или, если удаление (стирание)/обезличивание персональных данных технически невозможно, такие электронные носители должны уничтожаться;
12.4.3. персональные данные, содержащиеся на иных материальных носителях, должны уничтожаться путем уничтожения таких материальных носителей.
12.5. Уничтожение персональных данных осуществляется Комиссией по уничтожению персональных данных в количестве не менее 3 (трех) человек из числа работников Фонда, чьи должностные функции включают соответствующие обязанности. Персональный состав комиссии определяется в соответствии с распоряжением Исполнительного директора о создании комиссии по уничтожению персональных данных.
12.6. По результатам уничтожения персональных данных должен оформляться акт об уничтожении персональных данных. Если обработка персональных данных осуществлялась с использованием средств автоматизации, то дополнительно к акту делается Выгрузка из журнала.
12.7. Акт об уничтожении персональных данных и Выгрузка из журнала хранятся в Фонде в течение 3 (трех) лет с даты уничтожения персональных данных.
13. В СЛУЧАЕ НЕПРАВОМЕРНОЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И
НЕПРАВОМЕРНОЙ / СЛУЧАЙНОЙ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Если нам станет известно о неправомерной обработке персональных данных (осуществляемой как самим Фондом, так и лицом, действующим по поручению Фонда), в срок, не превышающий 3 (трех) рабочих дней с даты обнаружения, Фонд прекращает неправомерную обработку или обеспечивает прекращение неправомерной обработки лицом, действующим по поручению Фонда.
13.2. Если по независящим от Фонда причинам мы не можем обеспечить правомерность обработки, в срок, не превышающий 10 (десяти) рабочих дней с даты обнаружения неправомерной обработки, мы уничтожаем такие персональные данные или обеспечиваем их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных мы уведомим вас (если обращение было направлено Роскомнадзором, Фонд уведомляет также и его).
13.3. Если мы обнаружили, что персональные данные неправомерно или случайно переданы неуполномоченным лицам, то с момента обнаружения такого инцидента вами, самим Фондом или Роскомнадзором уведомляем Роскомнадзор:
13.3.1. в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение ваших прав, и предполагаемом вреде, нанесенном вашим правам, о принятых мерах по устранению последствий инцидента, а также предоставляем сведения о лице, уполномоченном Фондом на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
13.3.2. в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставляем сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
14. ПОРЯДОК ПЕРЕСМОТРА И ВНЕСЕНИЯ ИЗМЕНЕНИЙ В ПОЛОЖЕНИЕ
14.1. Фонд регулярно, но не реже одного раза в год оценивает Положение на предмет соответствия действующему законодательству. С учетом изменений законодательства Российской Федерации, а также применимых стандартов и лучших практик в Положение могут быть внесены необходимые изменения. Внесение изменений в Положение осуществляется в том же порядке, что и его принятие. Фонд вправе вносить изменения в Политику без согласия Пользователей и по мере необходимости.
С актуальной версией Политики Пользователь вправе ознакомиться на сайте Фонда federalfond.ru.
Политика вступает в силу с момента издания приказа о ее утверждении.
Фонд вправе не проверять достоверность предоставленных физическим лицом персональных данных и его дееспособность. Физическое лицо гарантирует, что все данные являются достоверными, актуальными и не нарушают законодательство Российской Федерации.
Пользователь сайта гарантирует, что является совершеннолетним и дееспособным физическим лицом.
14.2. Конкретизация отдельных аспектов Положения может осуществляться путем разработки иных локальных нормативных актов Фонда.
14.3. По всем иным вопросам, не урегулированным Положением, следует руководствоваться положениями применимого законодательства и локальных нормативных актов Фонда
