Положение

об обработке и защите персональных данных оператором Некоммерческая организация «Фонд борьбы с коррупцией»

1. Общие положения

1.1. Настоящее Положение определяет политику Некоммерческой организации «Фонд борьбы с коррупцией» (далее — Оператор) в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений.

1.2. Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности персональных данных.

1.3. Настоящее Положение об обработке и защите персональных данных оператором НО «Фонд борьбы с коррупцией» (далее — Положение) устанавливает порядок сбора, хранения, передачи и любого другого использования персональных данных, предоставленных субъектами персональных данных Оператору для целей предоставления гражданам услуг по правовой, организационной и информационной помощи, предоставления гражданам услуг по информированию в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о субъекте персональных данных, предоставленных им Оператору.

1.4. Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», иными нормативно-правовыми актами, действующими на территории Российской Федерации, Уставом Оператора.

2. Основные понятия

2.1. Для целей настоящего Положения используются следующие понятия:

1) Оператор персональных данных (далее Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является — Фонд поддержки средств массовой информации «Пятое время года»;

2) Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

3) Субъект — субъект персональных данных.

4) Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

5) Ответственный за организацию обработки персональных данных — должностное лицо Оператора, ответственное за обеспечение соответствия режима персональных данных Оператора требованиям законодательства Российской федерации.

6) Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.


7) Использование персональных данных — действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

8) Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

9) Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

3. Обработка персональных данных

3.1. Общие положения об обработке персональных данных

3.1.1. Оператор осуществляет обработку следующих персональных данных: фамилия, имя, отчество, дата рождения, серия и номер паспорта гражданина Российской Федерации, адрес регистрации по месту жительства, номер телефона, адрес электронной почты.

3.1.2. Оператором осуществляется автоматизированная обработка персональных данных с передачей полученной информации по сети. Информация передается с использованием сети общего доступа Интернет.

3.1.3. В соответствии со ст.18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») Оператором:

1) назначен ответственный за организацию обработки персональных данных (далее — Ответственный);

2) утверждено настоящие Положение, определяющий политику Оператора в отношении обработки персональных данных, изданы локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;,

3) применены правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;

4) осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам Оператора;

5) проводится ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, обучение указанных сотрудников.

3.1.4. В соответствии со ст.19 Федерального закона «О персональных данных» для персональных данных, собираемых на электронных носителях, безопасность обеспечивается:

1) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных:
— принятие локальных актов, регламентирующих порядок работы с персональными данными;
— назначение должностного лица, ответственного за обеспечение защиты персональных данных;
— защита от несанкционированного физического доступа к информации (организация доступа к помещениям, где установлено оборудование, препятствующая неконтролируемому проникновению и пребыванию в них посторонних лиц);
— защита паролем компьютеров с персональными данными;
— использование системы паролей при работе в сети (на портале);
— ограничение доступа к компьютерной технике для определенных категорий сотрудников.

2) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, когда применение таких средств необходимо для нейтрализации актуальных угроз;

3) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

4) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

6) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3.1.5. Безопасность персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ, обеспечивается:

1) организацией режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

2) обеспечением сохранности носителей персональных данных;

3) утверждением Ответственным документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими обязанностей;

4) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

4) назначением ответственного за обеспечение безопасности персональных данных в информационной системе.

3.2. Общие требования при обработке персональных данных.

3.2.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры и обеспечивать их реализацию для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.2.2. Обработка персональных данных может осуществляться исключительно в целях предоставления Субъектам услуг по информированию.

3.2.3. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.2.4. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных 
данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2.5. Сотрудники Оператора должны быть ознакомлены под расписку с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области. 


3.2.6. Субъекты имеют право ознакомиться с документом Оператора, определяющим его политику в отношении обработки персональных данных. 


3.2.7. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны. 


3.3. Получение персональных данных.

3.3.1. В качестве субъектов персональных данных могут выступать любые физические лица.

3.3.2. Все персональные данные поступают непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает согласие на их обработку Оператором в электронной форме.

3.3.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления в адрес Оператора письменного уведомления, содержащего четко выраженное решение об отзыве своего согласия на обработку персональных данных.

3.4. Хранение персональных данных.

3.4.1. Хранение персональных данных Субъектов осуществляется Оператором в электронной форме.

3.4.2. Хранение персональных данных в электронной форме осуществляется способом, обеспечивающим возможность их восстановления и исключающим несанкционированный доступ.

3.5. Передача персональных данных

3.5.1. В целях, указанных в п.3.2.2. Оператор вправе осуществлять передачу персональных данных в компании, осуществляющие рассылку (в том числе почтовую, электронную и SMS-оповещений) сообщений, организации связи. Право выбора указанных компаний/лиц предоставляется Оператору и дополнительного согласования с Субъектом не требуется.

3.5.2. Оператор, за исключением случаев, указанных в п.3.5.1 не сообщает персональные данные Субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это предусмотрено федеральными законами.

3.5.3. Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.

3.5.4. Внутренний доступ (доступ внутри организации) к персональным данным Субъекта имеют:

1) сотрудники Оператора, ответственные за выполнение функций (координацию проектов), в рамках которых собираются персональные данные;

2) сотрудники Оператора, уполномоченные на работу с персональными данными в соответствии с решением ответственного за организацию обработки персональных данных.

3.5.5. Все сотрудники, имеющие доступ к персональным данным 
Субъектов, обязаны принять на себя обязательства о неразглашении персональных данных.


3.6. Уничтожение персональных данных

3.6.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, а также в случае отзыва Субъектом персональных данных согласия на их обработку.

3.6.3. Персональные данные, обрабатываемые в электронной в форме уничтожаются способом, не позволяющим осуществить их восстановление.

4. Права и обязанности Субъектов персональных данных и Оператора

4.1.В целях обеспечения защиты персональных данных Субъекты имеют право:

1) получать полную информацию о своих персональных данных и 
обработке этих данных в порядке, установленном законодательством;

2) требовать исключения или исправления неверных или неполных 
персональных данных, а также данных, обработанных с нарушением 
законодательства;

3) при отказе Оператора или уполномоченного им лица исключить или 
исправить персональные данные субъекта — заявить в письменной форме 
о своем несогласии, представив соответствующее обоснование;

4) обжаловать в суд любые неправомерные действия или бездействие Оператора или уполномоченного им лица при обработке и защите персональных данных Субъекта.

4.2. Субъекты в целях реализации своих прав направляют Оператору письменные обращения посредством постовой связи на адрес 115280, г. Москва, ул. Ленинская слобода, д. 19, оф. 21а.

4.3. Субъект персональных данных обязуется предоставлять персональные данные, соответствующие действительности.

4.4. Для защиты персональных данных Субъектов Оператор обязан:

1) за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

2) предоставить Субъекту возможность ознакомиться с настоящим Положением и его правами в области защиты персональных данных путем размещения Положения в открытом доступе в сети Интернет; 


3) по запросу ознакомить Субъекта с настоящим Положением и его правами в области защиты персональных данных;

4) осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации; 


6) по запросу субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.

5. Процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений

5.1. Ответственный за организацию обработки персональных данных в пределах своих полномочий организует деятельность, направленную на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений:

1) утверждает локальные акты Оператора в области обработки персональных данных.

2) осуществляет текущий контроль за деятельностью сотрудников Оператора в части, связанной с доступом к персональным данным, на предмет соответствия их деятельности требованиям законодательства и локальных актов Оператора в области обработки персональных данных;

3) рассматривает запросы и жалобы Субъектов, предписания государственных органов, уполномоченных в сфере контроля и надзора за соблюдением законодательства о персональных данных, готовит на них ответы;

4) принимает организационные меры, направленные устранение причин и условий, способствующих нарушениям режима персональных данных, а также последствий нарушения законодательства и локальных актов Оператора в области обработки персональных данных;

5) организует защиту от непосредственного физического доступа к информации, составляющей персональные данные;

6) организует применение Оператором техническим мер в области защиты персональных данных;

7) готовит проекты решений о привлечении сотрудников оператора к ответственности за нарушения режима работы с персональными данными.

5.2. В случае выявления угроз безопасности персональных данных ответственный за организацию обработки персональных данных принимает решение о применении прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

5.3. Сотрудники оператора, деятельность которых связана с обработкой или использованием персональных данных, предварительно проходят обучение и под роспись знакомятся с обязанностями в сфере персональных данных, которые возлагаются на них Оператором и законодательством Российской Федерации.

5.4. Сотрудники Оператора, которым стало известно о нарушениях режима работы с персональными данными, установленного законодательством Российской Федерации и локальными актами Оператора, фактах несанкционированного доступа к персональным данным обязаны незамедлительно уведомить об этом ответственного за организацию обработки персональных данных и принять меры, направленные на пресечение нарушений, минимизацию и устранение последствий такого нарушения.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Ответственный за организацию обработки персональных данных несет персональную ответственность за обеспечение соответствия режима обработки персональных данных Оператором требованиям законодательства Российской Федерации.

6.2. Ответственный за организацию обработки персональных данных, разрешающий доступ сотрудника Оператора к персональным данным, несет персональную ответственность за данное разрешение. 


6.3. Сотрудники оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных (включая локальные акты Оператора), привлекаются к ответственности в порядке, установленном законодательством Российской Федерации.

Оператор — Некоммерческая организация «Фонд борьбы с коррупцией» (НО «Фонд борьбы с коррупцией»), Юридический адрес: г. Москва, ул. Ленинская Слобода, д.19 оф.21А, ИНН: 7709471429, номер в Реестре операторов, осуществляющих обработку персональных данных: 77-17-006003