ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
Настоящий документ определяет политику Автономной некоммерческой организации Агентство инноваций социальной сферы «Цифропрактика» (АНО «Цифропрактика»), (далее – Оператор) в отношении обработки персональных данных, осуществляемой Оператором, а также содержит сведения о реализуемых требованиях к защите персональных данных, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 «О персональных данных».
Принятие настоящей политики преследует следующие цели:
- обеспечение защиты прав и свобод субъектов при обработке их персональных данных Оператором;
- предотвращение нарушений законных прав и интересов субъектов;
- защита персональных данных субъектов от несанкционированного доступа и разглашения;
- недопущение нанесения возможного ущерба, вызванного неправомерными умышленными или неосторожными действиями юридических и (или) физических лиц путем безвозмездного присвоения информации или ее разглашения, нарушением установленных норм, регулирующих обработку и защиту персональных данных.
Основные понятия, используемые в настоящей политике:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2. Цели и сроки обработки персональных данных
Обработка персональных данных субъектов осуществляется с целью:
- связи с субъектом, в том числе направления уведомлений, запросов и информации, касающихся использования сайта, оказания услуг, а также обработки запросов и заявок от субъекта;
- предоставления субъекту персонализированных услуг;
- составления базы данных пользователей сайта;
- проведения статистических и иных исследований, на основе обезличенных данных;
- улучшения качества сайта, удобства их использования, разработки новых сервисов и услуг.
Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, указанные в п. 2.1. настоящей Политики, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
- при достижении цели обработки персональных данных, если иное не предусмотрено договором – в течение 30 дней;
- предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
- невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней;
- отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней;
- ликвидация (реорганизация) Оператора.
В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 2.2. настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
3. Правовые основания обработки персональных данных
Политика Оператора в области обработки персональных данных субъектов определяется следующими основными нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Федеральным законом от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 г. № 152 «О персональных данных»;
- постановлением Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказом ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- прочими нормативными правовыми актами.
4. Категории обрабатываемых персональных данных, источники их получения
- Оператор обрабатывает иные категории персональных данных субъектов, не являющихся сотрудниками Оператора (до 100 000 субъектов).
- Для достижения целей обработки персональных данных Оператор обрабатывает следующие персональные данные субъектов:
- имя;
- контактные данные (номер телефона, адрес электронной почты);
- место регистрации (город).
- Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются субъектом путём заполнения регистрационных форм на сайте «*.cifropraktika.ru».
5. Основные принципы обработки персональных данных
- Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Обрабатываются только персональные данные, которые отвечают целям их обработки.
- Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- При обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
- При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
- Обработка персональных данных субъектов осуществляется исключительно в целях выполнения функций Оператора, обеспечения соблюдения требований законодательства.
- При обработке персональных данных соблюдается режим конфиденциальности, за исключением случаев, предусмотренных законом.
- Обработка персональных данных осуществляется на основании согласия субъекта в соответствии с требованиями п. 1 ч. 1 ст. 6 Федеральным законом от 27 июля 2006 г. № 152
«О персональных данных». Заполняя регистрационную форму на сайте «*.cifropraktika.ru» субъект подтверждает согласие на обработку своих персональных данных Оператором.
6. Меры по обеспечению безопасности персональных данных при обработке
Политика безопасности и защиты персональных данных обеспечивается путем принятия правовых, организационных и технических мер, к которым можно отнести:
- определение перечня информации, составляющей персональные данные субъектов, обрабатываемой Оператором;
- ограничение доступа к информации, составляющей персональные данные субъектов, путем установления порядка обращения с этой информацией и контроля соблюдения такого порядка;
- учет лиц, получивших доступ к информации, составляющей персональные данные субъектов, и (или) лиц, которым такая информация была предоставлена или передана;
- урегулирование отношений по использованию информации, составляющей персональные данные субъектов, работниками в силу выполнения ими трудовых обязанностей;
- обеспечение защиты персональных данных от несанкционированного доступа;
- использование программных средств защиты информации;
- другие меры, которые не противоречат законодательству Российской Федерации.
7. Права субъектов персональных данных
- Субъект, персональные данные которого обрабатываются Оператором, имеет право получать от Оператора информацию, касающуюся обработки его персональных данных. Сведения, предоставляются субъекту персональных данных на основании запроса. Запрос должен содержать сведения, предусмотренные законодательством Российской Федерации, подпись субъекта персональных данных или его представителя.
- Разъяснения по вопросам обработки персональных данных субъект персональных данных может получить, направив официальный запрос в адрес Оператора.
- Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- Отозвать свое согласие на обработку персональных данных в любой момент.
- Требовать устранения неправомерных действий Оператора в отношении его персональных данных.
- На защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.
- Субъект персональных данных вправе осуществлять иные права, предусмотренные законодательством Российской Федерации.
8. Обязанности оператора
- Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
- Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.
- Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- В соответствии с ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152
«О персональных данных» опубликовать в сети Интернет на официальном сайте «cifropraktika.ru» и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. - Осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).
- Уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).
- Прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим на основании договора с Оператором.
- Прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по договору с Оператором) и уничтожить данные или обеспечить их уничтожение (если обработка данных осуществляется другим лицом, по поручению Оператора) по достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных.
- Прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в случае отзыва субъектом персональных данных согласия на обработку персональных данных.
- Выполнять иные обязанности, предусмотренные законодательством Российской Федерации.
- Работники Оператора обязаны:
- ознакомиться с Политикой и внутренними документами, регламентирующими процесс обработки персональных данных, и выполнять требования этих документов;
- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
- не разглашать персональные данные, к которым был получен доступ в рамках исполнения своих трудовых обязанностей;
- информировать работодателя о фактах разглашения (уничтожения, искажения) персональных данных.
9. Заключительные положения
- В целях соблюдения требований законодательства Оператором приняты локальные акты, регламентирующие порядок обработки персональных данных, и определяющие его политику в отношении их обработки.
- Положение подлежит изменению/дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
- Ответственность за невыполнение требований, регулирующих обработку и защиту персональных данных, должностными лицами Оператора, имеющими доступ к персональным данным, определяется в соответствии с законодательством Российской Федерации и локальными правовыми актами в отношении обработки персональных данных.
Наш адрес сайта: https://cifropraktika.ru