1 Общие положения 1.1 Настоящая Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Благотворительном фонде «Жёлтый Аист» (БФ «Жёлтый Аист», 662 500, Красноярский край, г. Сосновоборск, улица Юности, д. 3, помещение 240, ком.8, ИНН: 2 465 117 252 ОГРН: 1 072 400 003 554;) (далее — Оператор, Фонд) персональных данных, а также персональных данных пользователей (посетителей) сайта: «
http://krasbezsirot.ru» (далее по тексту — «Сайт»), права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных.
1.2 Оператор обрабатывает ПДн в соответствии со следующими нормативными и правовыми актами, локальными нормативными актами:
— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
— учредительные документы Оператора;
— локальные нормативные акты Оператора, регламентирующие обработку ПДн;
— настоящая Политика;
— согласия на обработку ПДн (в письменной форме, а также в иной форме, допустимой Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», иными нормативными правовыми актами).
1.3 Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных — любое действие или совокупность действий, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4 Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
— соискатели, работники и бывшие работники Оператора — для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений;
— контрагенты и получатели услуг, благополучатели Оператора — для целей осуществления деятельности в соответствии с уставом Оператора и видами деятельности;
— персональные данные лиц, являющихся участниками, благополучателями, добровольцами, партнерами или соорганизаторами социальных проектов, реализуемых Оператором — информация, необходимая Оператору для реализации своих прав и законных интересов в рамках осуществления видов деятельности, в том числе соблюдения требований органов государственной власти и местного самоуправления и иных организаций, предоставляющих гранты, субсидии или пожертвования, к содержанию и объему отчетности о реализации соответствующих проектов и использования целевого финансирования;
— персональные данные иных лиц (курьеры, представители обслуживающих организаций и др.) — информация, необходимая Оператору для реализации своих прав и законных интересов в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами.
— посетители сайта Оператора — для ведения информационной деятельности.
1.5 Трансграничная передача ПДн Оператором не осуществляется.
2 Основные принципы, цели и случаи обработки персональных данных2.1 Обработка персональных данных Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
— обработке подлежат только персональные данные, которые отвечают целям их обработки;
— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
— при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом либо договором, стороной, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
— право доступа для обработки персональных данных имеют сотрудники Оператора в соответствии с возложенными на них функциональными обязанностями;
— обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2 Целями обработки персональных данных являются:
— регулирование трудовых отношений с работниками;
— ведение кадрового и бухгалтерского учета;
— подготовка, заключение, исполнение и прекращение гражданско-правовых договоров с контрагентами;
— ведение уставной деятельности, в том числе разработка и реализация программ, проектов и проведение мероприятий;
— ведение благотворительной деятельности, включая оформление отношений с благотворителями и благополучателями;
— ведение информационной работы организации, включая обеспечение работы сайта и иных информационных каналов;
— реализация прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами, или третьих лиц либо достижения общественно значимых целей.
2.3 Обработка персональных данных Оператором допускается, если она:
— осуществляется с согласия субъекта персональных данных;
— необходима для исполнения договора, стороной, выгодоприобретателем или благополучателем, по которому является субъект персональных данных;
— необходима для осуществления прав и законных интересов Оператора при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
2.4 Обработка персональных данных осуществляется только с письменного согласия субъекта, кроме случаев, предусмотренных ст. 6 152-ФЗ.
2.5 Согласие оформляется:
— В бумажном виде (при личном обращении);
— В электронной форме (через сайт или email);
— Через галочку на онлайн-форме («Я согласен на обработку данных»).
3 Меры по обеспечению безопасности персональных данных3.1 При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2 Обеспечение безопасности персональных данных достигается посредством:
— назначения лица, ответственного за организацию обработки персональных данных;
— принятия локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
— применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
— обнаружения фактов несанкционированного доступа к персональным данным и принятия необходимых мер;
— обеспечения сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ при сборе персональных данных, в том числе посредством сети Интернет;
— хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных, отдельно друг от друга;
— установления правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных;
— проверка готовности и эффективности использования средств защиты информации;
— реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
— парольная защита доступа пользователей к техническим средствам, содержащим персональные данные;
— осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов);
— иные меры, предусмотренные законодательством РФ в области защиты персональных данных.
3.3 Оператор может предоставлять персональные данные третьим лицам только:
— Для исполнения договора;
— По запросу госорганов.
4 Обязанности сотрудников БФ «Жёлтый Аист»4.1 Сотрудники Оператора, допущенные к обработке персональных данных, обязаны:
— знать и неукоснительно выполнять требования настоящей Политики;
— обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
— не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей;
— пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;
— выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;
— хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами.
4.2 Сотрудникам Оператора, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.
4.3 Каждый новый работник Оператора, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ в области защиты персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.
4.4 Лица, виновные в нарушении требований законодательства РФ в области защит персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством.
5 Права субъекта персональных данных5.1 Субъекты персональных данных имеют право на:
— полную информацию об их персональных данных, обрабатываемых Оператором;
— доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
— уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— согласие может быть отозвано путем направления письменного уведомления Оператору персональных данных с требованием о прекращении обработки персональных данных.;
— принятие предусмотренных законом мер по защите своих прав;
— обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства РФ в области защиты персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
— субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
— субъект ПДн имеет иные права, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
6 Порядок уничтожения, блокирования и сроки хранения персональных данных6.1 В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения.
6.2 В случае выявления неточных персональных данных при обращении субъекта персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.3 В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных, или иных необходимых документов Оператор уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.4 В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
6.5 Если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.
6.6 Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
6.7 В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральным законом.
6.8 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено федеральным законом.
6.9 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4−6.8 настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.10 Ликвидация Оператора в установленном законом порядке.
6.11 Сроки хранения персональных данных составляет:
— Работников — 50 лет (ст. 23 ТК РФ);
— Благополучателей — 3 года после окончания помощи;
— Волонтеров — 5 лет с момента последнего взаимодействия.
6.12 По истечению сроков данные автоматически обезличиваются или уничтожаются.
7 Обработка персональных данных на сайте Оператора7.1 Согласие Пользователя на обработку персональных данных
— Отправляя сообщение через формы обратной связи, размещенные на Сайте Пользователь выражает свое согласие на обработку персональных данных в определенных настоящей Политикой целях и объеме.
— Пользователь может подписаться на получение рассылки по электронной почте, если такая возможность предоставляется Сайтом. Рассылка может содержать сведения о новостях Фонда, мероприятиях, проводимых Фондом, рекламных акциях, информацию о новых услугах и тому подобное. Заполняя поле «e-mail», Пользователь дает свое согласие на получение таких рассылок. Пользователь в любой момент может отозвать свое согласие на получение рассылки. Возможность отписаться от рассылки предоставляется Пользователю в каждом письме. Также, описаться от рассылки можно путем подачи (или направления по почте/электронной почте) письменного заявления в адрес Фонда: 662 500, Красноярский край, г. Сосновоборск, улица Юности, д. 3, помещение 240, ком.8;
— С целью отправки сообщений по электронной почте Фонд может передавать специализированным сервисам по отправке сообщений такие персональные данные как имя и адрес электронной почты.
7.2 Целью обработки персональных данных является: организация автоматизированного предоставления пользователям технических возможностей Сайта, предоставление пользователю доступа к сервисам, информации, материалам, содержащимся на Сайте; возможность информирования пользователя об услугах Оператора, в том числе посредством отправки sms-сообщений, звонков, сообщений электронной почты; рекламирование услуг Фонда; анализ продуктивности и востребованности Сайта.
— Если Пользователь просто просматривает Сайт, то персональные данные не обрабатываются.
7.3 Категорией субъектов персональных данных, сведения, которых обрабатываются Оператором, являются партнеры, волонтеры Фонда, а также жертвователи.
7.4 При заполнении сведений о жертвователе, формы обратной связи, а также при редактировании иных специальных полей для ввода информации субъект персональных данных предоставляет, а Оператор получает и обрабатывает следующие персональные данные:
— Фамилия;
— Имя;
— Отчество;
— Возраст;
— E-mail;
— Номер телефона.
7.5 В ходе своей деятельности Оператор осуществляет обработку персональных данных следующими способами: сбор, запись, систематизация, хранение, использование, уничтожение.
7.6 На Сайте используется технологии обработки куки (cookie) — это небольшие текстовые файлы, в которые браузер записывает данные с посещенных пользователем сайтов. Эти данные служат для сбора информации о действиях посетителей на сайте, для улучшения качества его содержания и возможностей.
7.7 В любое время пользователь может изменить параметры в настройках своего браузера таким образом, чтобы браузер перестал сохранять все файлы cookie, а также оповещал их об отправке. В этом случае некоторые сервисы и функции Сайта и Приложений могут перестать работать или работать некорректно.
7.8 Конфиденциальность персональных данных
— Оператор не раскрывает третьим лицам и не распространяет персональные данные Пользователей без их согласия кроме случаев, предусмотренных федеральным законом.
7.9 Срок обработки персональных данных
— Предоставленные пользователем данные обрабатываются бессрочно либо до момента, когда пользователь не отзовет свое согласие на обработку персональных данных, либо откажется от рассылки информации, либо до момента прекращения деятельности Сайта или Благотворительного фонда «Жёлтый Аист».
— При отзыве согласия, отказе от рассылки — персональные данные подлежат уничтожению (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных).
7.10 Субъект персональных данных вправе направить запрос в Фонд на получение информации, касающейся обработки его персональных данных на Сайте, в соответствии с требованиями статьи 14 Федерального закона РФ «О персональных данных». Данный запрос может быть направлен по адресам, указанным в разделе «Контакты», в письменной свободной форме.
7.11 Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения таких обязанностей.
7.12 Доступ к персональным данным имеют только уполномоченные сотрудники Оператора. Все сотрудники Оператора, имеющие доступ к персональным данным, должны придерживаться политики по обеспечению конфиденциальности и защиты персональных данных. В целях обеспечения конфиденциальности информации и защиты персональных данных Оператор поддерживает соответствующую ИТ-среду и принимает все меры, необходимые для предотвращения несанкционированного доступа.
8 Заключительные положения8.1 Контроль исполнения требований настоящей Политики осуществляется ответственным лицом за организацию обработки ПДн.
8.2 Иные права и обязанности Оператора, определяются Федеральным законом «О персональных данных» и иными нормативными правовыми актами в области защиты ПДн.
8.3 Должностные лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
8.4 Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с соответствующим запросом на электронную почту Оператора:
krasbezsirot@mail.ru.
8.5 Отзыв согласий субъектов персональных данных осуществляется в порядке, установленном в тексте (форме) соответствующих согласий. В любом случае согласие может быть отозвано путем направления письменного или электронного заявления в свободной форме, направленного на электронную почту Оператора:
krasbezsirot@mail.ru.
8.6 В настоящую Политику могут быть внесены изменения. Оператор имеет право вносить изменения по своему усмотрению, в том числе, но не ограничиваясь, в случаях, когда соответствующие изменения связаны с изменениями в применимом законодательстве, а также когда соответствующие изменения связаны с изменениями в работе Сайта.
8.7 Настоящая Политика является актуальной и находится в постоянном открытом доступе на Сайте Оператора.